Что происходит
Пик атак на российские финансовые сайты был зафиксирован в марте и мае, фиксировался кратный рост — до 20 и более раз. Интенсивность нападений снизилась, однако все равно остается в разы выше прошлогоднего уровня. По состоянию на середину октября, число DDoS-атак на российские финансовые организации в третьем квартале выросло вдвое в годовом выражении. Сейчас «ситуация стабильно напряженная».
Кроме того, после крупных финансовых компаний усилились атаки и на малые. Сайты и приложения банков и брокеров регулярно перестают работать до сих пор.
Читайте также: Самая большая в истории DDoS-атака
Кто пострадал от атак
Сбербанк — 7 октября банк выдержал крупнейшую в своей истории кибератаку, которая длилась больше суток. В нападении участвовали не менее 104 000 хакеров из-за рубежа. Банк в 2022 году выдержал не менее 470 атак, это больше, чем за семь последних лет.
Менеджмент банка назвал атаку «сложной». Пользователи, которые находились за границей, жаловались, что не могут зайти в приложение и личный кабинет на сайте Сбербанка. Банк заявил, что некоторые пользователи могут сталкиваться с ограничениями из-за «технических работ» и рекомендовал пользоваться VPN.
«Открытые инвестиции» — 10 октября у брокера случился сбой. Он заявил, что на сервера банка «Открытие» была совершена кибератака. Кибератаки — DDoS и вирусы — происходят регулярно, их число выросло в разы, признает брокер.
«Тинькофф» — 14 октября сбой произошел и в этом банке. Его клиенты как в России, так и за рубежом жаловались на то, что не могут зайти ни в приложение банка, ни в брокерский сервис. При этом некоторые пользователи, которые находились за границей, говорили, что у них все начинало работать, когда они подключались к российскому IP через VPN. Банк объяснил сбой «техническими причинами».
«Финам» — 19 октября пользователям оказались недоступны сервисы финансового холдинга. В «Финаме» также добавили, что ограничивали доступ к серверам авторизации FinamTrade из-за рубежа, чтобы минимизировать нагрузку на инфраструктуру и обеспечить ее работоспособность.
БКС — 26 октября брокеры рассказали, что технические сбои были связаны с массовыми DDoS-атаками.
Читайте также: Хакеры Anonymous взломали Центробанк РФ
А кто это сделал?
У сбоев в Сбербанке, «Тинькофф», «Открытии» и БКС есть кое-что общее. В те дни, когда они происходили, в телеграм-канале IT Army of Ukraine заранее появлялись сообщения, что именно эти организации сегодня планируется «ддосить».
Практически все сбои в работе банков и брокеров, о которых становилось известно за последние месяцы, следовали как раз после таких анонсов. Банки за сообщениями в таких телеграм-каналах следят.
В первые месяцы войны «IT-армия» объединила почти 300 тысяч украинских и зарубежных айтишников, чьей основной целью стали атаки на российские государственные сайты, бизнес и СМИ. В открытом телеграм-чате IT-армии сейчас — 213 тысяч подписчиков. 26 марта их было 300 тысяч, 10 июня — 259 тысяч. С чем связан отток пользователей и сколько из них на самом деле участвует в ее работе — неизвестно. Число атакующих ботов варьируется от атаки к атаке и составляет от 25 тысяч до 60 тысяч единиц.
Сколько человек на регулярной основе участвует в DDoS-атаках на российские банки, сказать трудно. Сейчас IT-армия состоит из двух частей, выяснили в Центре по изучению вопросов безопасности (CSS) в Цюрихе: добровольцев, которые атакуют в основном гражданскую инфраструктуру, и внутренних групп, которые, скорее всего, напрямую взаимодействуют с военными и выполняют их задачи.
Однозначно утверждать, что за всеми атаками стоит именно IT-армия — трудно. Но корреляция между сообщениями в телеграм-канале и атаками на российские компании есть.
Читайте также: Anonymous против РФ. Список побед
Все, что сейчас происходит, — возможность тестировать арсенал кибероружия без особых последствий. И хакеры с большой вероятностью ею пользуются.
IT-армия постоянно совершенствует механизмы атак, и они достаточно мотивированы, чтобы целенаправленно искать уязвимости в защищаемых приложениях. Кроме того, практика показала, что больше половины успешных атак хакеров были на компании, у которых была защита от DDoS-атак, но она не сразу справлялась с натиском.
Сам по себе DDoS не угрожает ни данным пользователей, ни их деньгам. Но он очень часто идет параллельно с более продвинутыми атаками, целью которых является уже что-то посерьезнее отказа в обслуживании.
И пример такой атаки в исполнении украинских хакеров уже был: весной мощная DDoS-атака на Rutube замаскировала взлом сервиса и удаление его данных.
Почему банки скрывают факт атак
Сами банки предпочитают не раскрывать, что за их «техническими сбоями» стоят именно хакеры. Если сбой длится не очень долго, выгоднее публично отмалчиваться, если долго — признать «временные трудности у части клиентов».
Потери от успешной DDoS-атаки компании часто недооценивают: помимо прямого ущерба от приостановки работы сайтов и приложений, есть еще дополнительная нагрузка на колл-центры и инженерные службы компании.
В крупных банках с хорошей защитой в момент DDoS-атак все крупные транзакции переводят на ручной контроль либо вообще приостанавливают. Но так делают не все.
Регулярно повторяющиеся падения сайтов могут говорить о недостаточной степени подготовки финансовых учреждений в сфере безопасности.
Читайте также: Сбой в Ощадбанке и Приватбанке из-за DDoS атаки
Банки обязаны принимать надлежащие меры по обеспечению безопасности используемых программных обеспечений, в том числе минимизировать риски хакерских атак и технических сбоев. Непринятие таких мер может повлечь не только гражданскую, но и административную, и в некоторых случаях уголовную ответственность для сотрудников банка. Поэтому банки часто скрывают информацию о хакерских атаках. Ее раскрытие всегда приводит сначала к внутренней проверке, а затем к проверке системы безопасности банка курирующими подразделениями регулятора.
Скоро российские компании могут столкнуться с атаками мощностью более 1 млн запросов в секунду (сейчас их мощность достигает 700 000 запросов в секунду), которые будут длиться до нескольких дней.