ФСБ атаковала хакеров
Возбуждено дело о массовых нападениях на сайты банков
Федеральная служба безопасности (ФСБ) возбудила первое дело по факту массовой кибератаки с использованием "интернета вещей" на крупнейшие финансовые учреждения РФ осенью прошлого года. Несмотря на то что нарушений сервисов не было зафиксировано, подозреваемым грозит до семи лет лишения свободы. В будущем, в связи с принятием Госдумой последних поправок к законодательству, хакерские атаки будут караться и более жестким наказанием.
Вчера замдиректора ФСБ Дмитрий Шальков, выступая в Госдуме на представлении пакета правительственных законопроектов о безопасности критической информационной инфраструктуры (КИИ) РФ, сообщил о возбужденном уголовном деле по факту массовой хакерской атаки на объекты финансового сектора осенью 2016 года. По данным ФСБ, объектами злоумышленников стали Сбербанк, Росбанк, Альфа-банк, Банк Москвы, Московская биржа и другие. "По данному факту ведется предварительное следствие",— отметил Дмитрий Шальков.
DDoS-атаки для банков — дело привычное, и не только для них. По словам Дмитрия Шалькова, в 2016 году количество хакерских атак на российские официальные информационные ресурсы составило более 70 млн, что втрое больше, чем год назад. Однако ноябрьские атаки уникальны. "8-14 ноября были совершены DDoS-атаки средней мощности на восемь организаций,— отметили в пятницу в пресс-службе ЦБ.— В них участвовали бот-сети (предварительно взломанные и взятые под контроль компьютеры, имеющие доступ в интернет.— "Ъ"), включавшие в том числе устройства так называемого интернета вещей, в основном веб-камеры". Вместе с тем, по данным регулятора, "нарушений сервисов не было зафиксировано ни в одном из атакованных банков, атаки не были направлены на АРМ КБР (автоматизированное рабочее место клиента банка России, то есть атаки не сопровождались хищением денежных средств.— "Ъ")". После ноябрьских инцидентов подобного рода атак зафиксировано больше не было, сообщили в Центробанке России. Схожую природу имела и мощная скоординированная атака в конце октября 2016 года на американского интернет-провайдера Dyn, длившаяся около шести часов. Из-за нее в США оказался недоступен целый ряд крупных интернет-ресурсов, в частности Twitter, CNN, Spotify, Reddit, The New York Times.
Сами по себе DDoS-атаки не ориентированы на хищение денежных средств, они направлены на блокировку сайтов и онлайн-сервисов банков. По словам замдиректора департамента аудита защищенности Digital Security Глеба Чербова, "серверы и устройства, попавшие под контроль злоумышленников, организуются в бот-сети и ожидают в готовности начать генерировать сетевой трафик, суммарно приобретающий фатальные для атакуемой системы масштабы".
"Сервер жертвы получает на вход информацию, которую не может обработать в штатном режиме — либо по причине ее некорректности, либо потому, что входящих запросов поступает слишком много",— объясняет руководитель направления ИБ-аутсорсинга Solar Security Эльман Бейбутов.
Вместе с тем DDoS-атаки могут принести банкам громадные убытки. По мнению господина Бейбутова, недоступность сайта и интернет-банка (особенно вкупе с информационным вбросом, например, об отзыве лицензии) может привести к панике среди вкладчиков, которые начнут массово изымать вклады. Вероятнее и иной сценарий — маскировка другой атаки. "Пока сайт выведен из строя, а служба информбезопасности бросает все силы на то, чтобы решать эту проблему, злоумышленники проникают в инфраструктуру банка и закрепляются там",— поясняет эксперт.
Эксперты отмечают: если ФСБ сообщила о возбуждении уголовного дела, значит, правоохранительные органы уже вычислили центр управления бот-сетями (ботнетом) и уже есть подозреваемые. "При расследовании DDoS-атак сначала определяются IP-адреса, с которых поступали запросы к атакованному ресурсу, далее вычисляется центр управления ботнетом",— рассказывает "Ъ" эксперт-криминалист, участвующий в расследовании киберпреступлений. "Формально для возбуждения уголовного дела достаточно в ходе осмотра извлечь "вредоносное тело" (то есть программу, с помощью которой осуществлялась атака.— "Ъ"), отправить его на экспертизу криминалистам для подтверждения факта атаки, и уже после этого возбуждается уголовное дело по статье 273 УК РФ "Создание, использование и распространение вредоносных компьютерных программ"",— отметил в беседе с "Ъ" следователь, занимающийся расследованием киберпреступлений. Однако, по его словам, на практике уголовные дела по DDoS-атакам возбуждаются, "когда уже есть подозреваемые". Перспективы расследования уголовного дела во многом зависят от квалификации хакеров и профессионализма следователей. "Подобными делами следствие занимается минимум полгода, но в реальности срок растягивается на два-три года",— отмечает собеседник "Ъ" из правоохранительных органов. Максимальный срок за неправомерный доступ к компьютерной информации составляет до двух лет, а если противоправные действия привели к тяжким последствиям — до семи лет.
Впрочем, в будущем злоумышленники рискуют получать куда более серьезные сроки. Вчера Госдума приняла в первом чтении пакет правительственных законопроектов. Он включает и поправки к Уголовному кодексу, которыми вводится наказание до десяти лет лишения свободы за создание программ для атак на КИИ РФ (см. подробнее "Ъ" от 7 декабря 2016 года).