Вчера абоненты уральского сотового оператора «Мотив» на несколько часов остались без голосовой связи и мобильного интернета. В компании сообщили, что столкнулись с самой масштабной DDoS-атакой в своей истории, которая велась из-за пределов РФ. Участники рынка отмечают, что регулярно сталкиваются с аналогичными атаками, однако масштабное падение сотовой сети происходит впервые.
Вчера часть абонентов сотового оператора «Мотив» (работает в Свердловской и Курганской областях, Ханты-Мансийском и Ямало-Ненецком автономных округах) столкнулась с проблемами в работе сети. Как сообщили в пресс-службе компании, с 3:45 часть абонентов во всех регионах присутствия потеряла возможность принимать входящие и совершать исходящие вызовы, а также пользоваться мобильным интернетом. Проблемы с голосовой связью оператор устранил около полудня, полностью устранить неполадки удалось к 16:00 местного времени.
Изначально на своей странице в соцсети «ВКонтакте» причиной проблем оператор назвал «серьезную аварию на сети». «В данный момент ведутся аварийно-восстановительные работы. К сожалению, сроки окончания работ назвать затруднительно», говорится в сообщении компании, опубликованном в 9:30. В полдень в компании сделали заявление, что причиной аварии стала «масштабная DDoS-атака на сеть». «По первичным данным атака распространялась из-за пределов РФ. Мы намерены обратиться по этому факту с заявлением в правоохранительные органы», — рассказали в «Мотиве». В компании отметили, что регулярно сталкиваются с аналогичными атаками, однако их удается быстро пресечь без видимых для абонентов последствий. Этот случай стал «самым мощным в истории компании». «Большей частью пострадали абоненты, пользующиеся LTE, однако были и исключения — какую-то закономерность нам пока выявить не удалось. Мы понимаем, что был мощный перерыв в работе сети, поэтому прорабатываем варианты компенсации для абонентов», — отметили в пресс-службе. Всего сетью оператора пользуются порядка 2,5 млн абонентов. Проблемы могли коснуться половины всех абонентов оператора, сейчас «Мотив» оценивает количество пострадавших и подсчитывает убытки.
Участники рынка ранее не встречались с угрозами такого масштаба. «За годы работы мы не сталкивались с атаками, которые могли бы нанести масштабный вред предоставлению голосовых услуг и мобильного интернета», — отмечают в пресс-службе «Мегафона». Представитель оператора отметил, что в месяц блокируется около 30 DDoS-атак. В МТС сообщили, что не сталкивались с DDoS-атаками, способными остановить работу всех сервисов.
Источники „Ъ” в сфере информационной безопасности отмечают, что DDoS-атаки, как правило, не приводят к таким масштабным последствиям. «На практике мне не известно ни одного случая, когда такого рода атака привела бы к проблемам со связью сразу в нескольких регионах. Обычно атака может привести к некорректной работе отдельных элементов сети, но не к полной потере работоспособности голосовой связи и передачи данных, учитывая резервные каналы», — отмечает один из собеседников „Ъ”. Он не исключает, что оператор в ночное время мог проводить работы на сети, которые завершились не очень удачно. «Если сеть построена с многоуровневыми системами защиты, DDoS-атаки не приводят к таким масштабным авариям, затрагивающим все сервисы оператора сразу в нескольких регионах. Часто, когда происходят столь крупные сбои в работе всех сервисов, ключевую роль играет человеческий фактор», — соглашается другой собеседник.
Консультант по безопасности Check Point Software Technologies Виктория Носова отмечает, что единого алгоритма действий при DDoS-атаках не существует. «В большинстве случаев можно перевести атаку на менее критичные сегменты сети, также можно заранее изолировать критически важные ресурсы», — отмечает эксперт. По ее словам, используя систему корреляции событий и проведя серьезное расследование, вполне возможно выявить организатора атаки. «Также злоумышленник может сам выйти на связь, например, потребовав денежное вознаграждение за прекращение атаки», — добавляет она. В компании отмечают, что сегодня атаки на информационные системы стали «настоящим криминальным бизнесом». Есть компании, которые заказывают атаки, есть группы, которые организуют атаки на информационные системы. Зачастую цель атаки — выведение из строя информационной системы в рамках конкурентной борьбы либо прикрытие другой целенаправленной атаки.