8 ноября издание Motherboard Vice опубликовало информацию о DDoS-атаках (Distributed Denial of Service – распределенная атака с целью вызвать отказ в обслуживании) на сайты российских банков: Сбербанка, Альфа-банка, Банка Москвы, Росбанка и Московской биржи. Специалисты финансовых организаций смогли выдержать нападение злоумышленников и все системы для пользователей работали в штатном режиме.
Ответственность за атаки взял на себя хакер, представившийся изданию Motherboard как vimproducts. Одну за другой он присылал журналистам ссылки на работающие сайты, которые спустя мгновение становились недоступны, подтверждая свою причастность к нападению. Атаки на упомянутые российские банки заметила компания Group-IB, специализирующаяся на киберпреступлениях, и подтвердила информацию об этом изданию «Ведомости». С заявлениями также выступили представители Сбербанка и Альфа-банка, а также специалисты Лаборатории Касперского.
8 ноября онлайн-ресурсы «Сбербанка» подверглись мощным DDoS-атакам. Атаки организованы с ботнетов, включающих десятки тысяч машин, территориально распределенных по нескольким десяткам стран. Системы защиты банка отработали надежно, атака была оперативно обнаружена и локализована подразделениями киберзащиты Сбербанка. Сбоев в работе сервиса для клиентов банка не было.
Пресс-служба Сбербанка
Атака была, но достаточно краткосрочная и слабая. Никак не повлияла на работу бизнес-систем.
Пресс-служба Альфа-банка
Злоумышленники используют многовекторные атаки типов syn-flood (атаки на исчерпание ресурсов операционной системы) и http-flood (атаки на веб-сервер с целью вызвать перегрузку и прекращение доступа к ресурсу). Это сложные атаки, которые практически невозможно отбить стандартными средствами защиты, которые используют операторы связи.
Пресс-служба Лаборатории Касперского
Хакер vimproducts занимается организацией заказных DDoS-атак. Он сообщил Motherboard Vice, что в данном случае организаторами были некие лица, недовольные вмешательством России в американские выборы (победу Дональда Трампа на выборах в США некоторые связывают с деятельностью правительства Российской Федерации — прим. ред). Мощность организованной vimproducts атаки достигала 660 тысяч запросов в секунду. Длились атаки в среднем около часа, однако наиболее длительная продолжалась 12 часов и состояла из нескольких этапов с возрастающей мощностью. Более половины устройств, которые входят в совершивший атаки ботнет, находятся на территории США, Индии, Тайваня и Израиля. Всего в атаках участвовали машины из 30 стран.
В атаках на российские банки участвовали десятки тысяч устройств «интернета вещей», сообщил представитель FinCERT (структуры ЦБ по борьбе с киберпреступлениями). То есть в составе ботнета были были техноические решения из сферы «умного» дома, «умного» города и другие подключенные к сети устройства с минимальной функциональностью. Схожую природу имела атака на американского интернет-провайдера Dyn, из-за которой в конце октября оказались недоступны Twitter, Spotify, Reddit, Pinterest, Playstation Network, Imgur, CNN, The New York Times и некоторые другие крупные сайты. Атаки с использованием «интернета вещей» участились из-за распространения вредоносного программного обеспечения Mirai. Некоторым производителям, например компании Xiongmai, пришлось отзывать устройства для решения проблем с безопасностью. Всего во время атаки на Dyn были зарегистрированы десятки миллионов IP-адресов, связанных с Mirai.
Еще одна уязвимость в устройствах «интернета вещей», использующих протокол беспроводной связи ZigBee, была обнаружена и исправлена совсем недавно. Мы рассказывали, что при помощи общедоступного оборудования и дрона можно взламывать умные лампочки Philips Hue, термостаты Nest, хабы управления Logitech Harmony Ultimate и другие устройства. Злоумышленники могли загружать на них вредоносный код с использованием мобильного интернета и устраивать цепную реакцию взломов и заражений.
Источники: Ведомости, Motherboard Vice