Деньги отбиваются от хакеров
Крупные банки подверглись крупной атаке
За последние два дня крупные российские банки столкнулись с самой значительной по мощности и длительности DDoS-атакой. Это привело к тому, что клиенты банков в течение нескольких часов испытывали сложности с использованием мобильных приложений и сервисов. Банки используют против таких атак эшелонированную оборону, тем более что они чреваты не только потерей лояльности клиентов, но и регуляторными последствиями.
Фото: Юрий Мартьянов, Коммерсантъ
В последние два дня клиенты крупных российских банков испытывали длительные сложности с использованием их приложений и сервисов (см. “Ъ” от 23 июля и 24 июля). Согласно данным системы мониторинга Downdetector, 23 июля жалобы на работу сайтов и сервисов Газпромбанка, РСХБ, Райффайзенбанка и Росбанка начались в 13:00–14:00. Впрочем, уже в 14:40, по данным Frank RG, без сбоев заработало приложение РСХБ, в 16:40 — Росбанка. В 18:20 появилась возможность входа в приложение Райффайзенбанка. 24 июля, по данным Frank RG, жалобы клиентов на неполадки в работе приложений Газпромбанка и ВТБ стали поступать уже в 9:30. Со сложностями в работе приложений ближе к 11:30 столкнулись пользователи приложений Росбанка и Альфа-банка. Ближе к 13:00 сервисы и инфраструктура ВТБ заработали в штатном режиме. После в 16:00 об этом заявили и в Росбанке.
По словам экспертов, все перечисленные банки подверглись массированной DDoS-атаке.
Наличие DDoS-атаки признали в РСХБ. Банковский сектор подвергся DDoS-атаке, спланированной из-за рубежа, подтвердили в ВТБ. В остальных банках признавали лишь наличие сбоев или проведение технических работ. В Банке России признают, что финансовый сектор длительное время находится в условиях повышенных атак, периодически их интенсивность возрастает.
По словам экспертов, подобной DDoS-атаки на финансовый сектор по интенсивности и длительности не было с начала года. Атаковались одновременно более 400 IP-адресов у отдельных банков, а мощность атак достигала более 300 Гбит/с на все атакуемые IP-адреса одной кредитной организации, указывает заместитель гендиректора Servicepipe Даниил Щербаков. По данным Qrator Labs, атаки на банки продолжались более семи часов в формате постоянной нагрузки, в течение которых были пиковые моменты длительностью 15–20 минут с максимальными показателями трафика — 530 Гбит/с. В качестве целей фигурировали как отдельно сайты и сервисы мобильных приложений, так и диапазоны принадлежащих банкам IP-адресов в целом, уточняет менеджер продукта Qrator Labs Георгий Тарасов.
Вместе с тем реализация последних DDoS-атак в целом не отличается сложностью, отмечают эксперты.
«Стандартная DDoS-атака начинается с заражения сторонних устройств и формирования из них ботнета, после чего атакующий начинает управлять ботнетом и дает ему различные команды. Главная цель — перегрузить ресурсы целевой системы, чтобы она стала недоступной для легитимных пользователей»,— поясняют в DDoS-Guard.
Во многом системы защиты банков могут справиться с подобными атаками. Банки, как правило, используют эшелонированные системы защиты от DDoS, состоящие из набора рубежей, указывают эксперты. Сначала применяются «облачные сервисы фильтрации трафика, далее защита на уровне интернет-провайдера, а на входе в собственную сеть используются специализированные устройства для анализа и очистки трафика», поясняет господин Тарасов.
При этом у каждого из таких эшелонов есть свои слабые и сильные стороны. «Попытка пустить атаку через весь набор контрмер будет иметь невысокие шансы на успех»,— отмечает эксперт. Однако в инфраструктуре крупной организации помимо веб-сайта находятся сотни разных сервисов и компонентов, которым необходима связь с внешним миром, и не все из них могут быть закрыты одновременно всеми уровнями защиты. «Злоумышленники занимаются поиском таких точек входа для того, чтобы облегчить себе преодоление либо вообще миновать какие-то из рубежей защиты»,— указывает Георгий Тарасов.
Для банков подобные атаки могут обернуться финансовыми, репутационными потерями, а также нарушениями нормативных актов ЦБ.
О результативности атаки может сигнализировать недоступность банковских приложений, сайта, системы авторизации пользователей. Прежде всего, сбой в работе сервисов вызывает массовое недовольство клиентов — на это как раз и рассчитывают злоумышленники, а всплеск недовольства в соцсетях отражается на ресурсах отслеживания сбоев типа Downdetector как доказательство того, что атака достигла цели, отмечает директор по клиентскому сервису NGENIX Владимир Зайцев.
Положение 787-П предусматривает, что у банка с активами более 500 млрд руб. длительность простоя или деградации сервисов должна быть не более двух часов, у менее крупных финансовых организаций деградация сервисов может наблюдаться более длительное время, отмечает господин Щербаков. При выявлении нарушений кредитными организациями требований нормативных актов регулятор вправе применить соответствующие меры надзорного реагирования, отмечают в ЦБ.