В среду, 9-го ноября, источник, близкий к ЦБ, сообщил, что пять крупных банков РФ со вторника подвергаются DDoS-атакам.
Атаки начались во вторник, 8 ноября, около 16:00 МСК. Атакованы веб-сайты как минимум пяти организаций из ТОП-10 российского банковского рынка.
Средняя продолжительность каждой атаки составила около часа, самая долгая длилась почти 12 часов. Некоторые банки подвергались атакам неоднократно – от двух до четырех атак с небольшим интервалом между ними. Мощность атак достигала 660 000 запросов в секунду. Для атак использовался ботнет, который состоит более чем из 24 000 машин. Более 50% устройств, входящих в ботнет, находятся на территории США, Индии, Тайваня и Израиля. Всего в атаках участвовали в общей сложности машины из 30 стран. И да, это ботнет на основе Mirai. Про данный ботнет уже и на Википедии есть статья.
«Системы защиты банка отработали надежно, атака была оперативно обнаружена и локализована подразделениями киберзащиты Сбербанка», — сообщает Сбербанк.
Альфа-Банк говорит, что DDoS-атака была «достаточно краткосрочная и слабая» и не повлияла на работу бизнес-систем.
«В ЦБ знают об этих атаках. Участвует ботнет из серии «интернет вещей». Мощность не очень большая. Под атакой порядка пяти банков со вчерашнего дня», — сказал собеседник агентства.
Однако, помимо источника, близкого к ЦБ, есть и другие источники информации. Так, в статье на http://motherboard.vice.com организатор атаки объясняет, что это сделано по заказу клиентов, которых раздражает вмешательство России в американские выборы.
Хакер, называющий себя vimproducts, взял на себя ответственность за кибератаки на сайты Московской биржи, Банка Москвы, Росбанка и Альфа-Банка. Помимо этого, он попытался обрушить сайт Минэкономразвития России.
Vimproducts не уточнил, сколько стоила такая атака, однако сказал, что обычно берет от $25 до $150 в день в зависимости от сайта. За $150 он готов вывести из строя «защищенные или средние/крупные web-сайты. Безусловно, эти атаки (на ресурсы российских банков) стоят дороже». Также киберпреступник пытался прорекламировать свои услуги, а именно просил Motherboard разместить в статье ссылку на свой профиль на торговой площадке AlphaBay, но издание отклонило просьбу.
Также есть мнение, что некоторые организаторы DDoS-атак применяют их как отвлекающий маневр, чтобы скрыть другую атаку.
А я напомню, что в сентябре 2016 года, после публикации статьи о группировках, которые продают услуги ботнетов для DDoS-атак, веб-сайт журналиста Брайана Кребса (некоторые расследования которого я переводил тут и тут), сам стал жертвой DDoS-атаки.
После этого, в октябре, злоумышленники опубликовали исходные коды использованного вредоносного ПО, чем создали риски неконтролируемого воспроизведения атак другими злоумышленниками.
И эти риски подтвердились: в конце октября была DDoS-атака на DNS-провайдера Dyn, которая вызвала сбои в работе Twitter, CNN, Spotify, Reddit, The New York Times и многих других популярных сайтов. А теперь DDoS-ят и финансовые институты. Вообще почитать про ботнет можно тут или тут.
Последняя масштабная серия DDoS-атак на российские банки (без участия данного ботнета) произошла в октябре 2015 года, когда были атакованы 8 известных финансовых организаций. Всего с октября 2015-го по март 2016-го Центробанк зафиксировал 21 кибератаку на платежные системы российских финансовых организаций.
По материалам: rbc.ru, motherboard.vice.com, vedomosti.ru
Автор: Gorodnya
