Як українські хакери «кладуть» російські банки
05.11.2022Після вторгнення Росії в Україну число DDoS-атак на російські сайти зросло в 15 разів. Серед основних цілей — фінансовий сектор росії: на нього припала приблизно третина зафіксованих атак, а загальна їх кількість зросла цього року більш ніж у 10 разів. The Bell з’ясував, хто за ними стоїть і чому банки не можуть упоратися з атаками. «Мінфін» обрав головне.
Ілюстративне фото
Що відбувається
Пік атак на російські фінансові сайти був зафіксований у березні та травні, фіксувалося кратне зростання — до 20 і більше разів. Інтенсивність нападів знизилася, проте все одно залишається в рази вищою за торішній рівень. Станом на середину жовтня число DDoS-атак на російські фінансові організації в третьому кварталі зросло вдвічі в річному вираженні. Нині «ситуація стабільно напружена».
Крім того, після великих фінансових компаній посилилися атаки й на малі. Сайти та додатки банків та брокерів регулярно перестають працювати досі.
Хто постраждав від атак
Сбербанк — 7 жовтня банк витримав найбільшу у своїй історії кібератаку, яка тривала понад добу. У нападі брали участь щонайменше 104 000 хакерів з-за кордону. Банк у 2022 році витримав не менше 470 атак, це більше, ніж за останні сім років.
Менеджмент банку назвав атаку «складною». Користувачі, які перебували за кордоном, скаржилися, що не можуть зайти у додаток та особистий кабінет на сайті Ощадбанку. Банк заявив, що деякі користувачі можуть стикатися з обмеженнями через «технічні роботи» і рекомендував користуватися VPN.
«Відкриті інвестиції» — 10 жовтня збій у брокера трапився збій. Він заявив, що на сервера банку «Відкриття» було здійснено кібератаку. Кібератаки — DDoS та віруси — відбуваються регулярно, їх кількість зросла в рази, визнає брокер.
«Тінькофф» — 14 жовтня збій стався і в цьому банку. Його клієнти як у росії, так і за кордоном, скаржилися те що, що можуть зайти ні у додаток банку, ні у брокерський сервіс. При цьому деякі користувачі, які перебували за кордоном, говорили, що у них все починало працювати, коли вони підключалися до російського IP через VPN. Банк пояснив збій «технічними причинами».
«Фінам» — 19 жовтня виявилися недоступними сервіси фінансового холдингу. У Фінамі також додали, що обмежували доступ до серверів авторизації FinamTrade з-за кордону, щоб мінімізувати навантаження на інфраструктуру і забезпечити її працездатність.
БКС — 26 жовтня брокери розповіли, що технічні збої були пов’язані з масовими DDoS-атаками.
Хто це зробив?
Збої в Ощадбанку, «Тінькофф», «Відкриття» та БКС мають дещо спільне. У ті дні, коли вони відбувалися, у телеграм-каналі IT Army of Ukraine заздалегідь з’являлися повідомлення, що саме ці організації сьогодні планують «ддосить».
Практично всі збої в роботі банків і брокерів, про які ставало відомо за останні місяці, траплялись саме після таких анонсів. Банки за повідомленнями у таких телеграм-каналах стежать.
У перші місяці війни «IT-армія» об’єднала майже 300 тисяч українських та закордонних айтішників, чиєю основною метою стали атаки на російські державні сайти, бізнес та ЗМІ. У відкритому телеграм-чаті IT-армії зараз 213 тисяч підписників. 26 березня їх було 300 тисяч, 10 червня — 259 тисяч. З чим пов’язаний відтік користувачів і скільки з них насправді бере участь у роботі — невідомо. Число атакуючих ботів варіюється від атаки до атаки та становить від 25 тисяч до 60 тисяч одиниць.
Скільки людей на регулярній основі бере участь у DDoS-атаках на російські банки, сказати важко. Зараз IT-армія складається з двох частин, які з’ясували в Центрі з вивчення питань безпеки (CSS) у Цюриху: добровольців, які атакують в основному громадянську інфраструктуру, та внутрішніх груп, які, швидше за все, безпосередньо взаємодіють із військовими та виконують їхні завдання.
Однозначно стверджувати, що за всіма атаками стоїть саме ІТ-армія — важко. Але кореляція між повідомленнями в телеграм-каналі та атаками на російські компанії є.
Все, що зараз відбувається — можливість тестувати арсенал кіберзброї без особливих наслідків. І хакери з великою ймовірністю користуються нею.
IT-армія постійно вдосконалює механізми атак, і вони досить мотивовані, щоб цілеспрямовано шукати вразливості в програмах, що захищаються. Крім того, практика показала, що більш ніж половина успішних хакерських атак були проти компанії, у яких був захист від DDoS-атак, але вони не одразу справлялися з натиском.
Сам по собі DDoS не загрожує ні даним користувачам, ні їхнім грошам. Але він дуже часто йде паралельно з більш просунутими атаками, метою яких є вже щось серйозніше від відмови в обслуговуванні.
І приклад такої атаки у виконанні українських хакерів уже був: навесні потужна DDoS-атака на Rutube замаскувала злом сервісу та видалення його даних.
Чому банки приховують факт атак
Самі банки вважають за краще не розкривати, що за їхніми «технічними збоями» стоять саме хакери. Якщо збій триває не дуже довго, вигідніше публічно відмовчуватися, якщо довго визнати «тимчасові труднощі у частини клієнтів».
Втрати від успішної DDoS-атаки компанії часто недооцінюють: крім прямої шкоди від припинення роботи сайтів та додатків, є ще додаткове навантаження на кол-центри та інженерні служби компанії.
У великих банках з гарним захистом у момент DDoS-атак усі великі транзакції переводять на ручний контроль або взагалі припиняють. Але так роблять не усі.
Падіння сайтів, що регулярно повторюються, можуть свідчити про недостатній рівень підготовки фінансових установ у сфері безпеки.
Банки зобов’язані вживати належних заходів щодо забезпечення безпеки програмних забезпечень, у тому числі мінімізувати ризики хакерських атак і технічних збоїв. Неприйняття таких заходів може спричинити як цивільну, а й адміністративну, й у деяких випадках кримінальну відповідальність співробітникам банку. Тому банки часто приховують інформацію про атаки хакерів. Її розкриття завжди призводить спочатку до внутрішньої перевірки, а потім до перевірки системи безпеки банку підрозділами регулятора, що курують.
Незабаром російські компанії можуть зіткнутися з атаками потужністю понад 1 млн запитів на секунду (зараз їх потужність сягає 700 000 запитів на секунду), які триватимуть кілька днів.
Читайте також на Newssky «Швейцарія надасть 100 млн франків на термінове відновлення енергетичної інфраструктури України» і дивіться на YouTube-каналі «Нудний Пенс».
Щоб завжди бути в курсі подій, підписуйтесь на ТГ-канал Newssky. Також рекомендуємо актуальні дискусії друзів України в Північній Америці на YouTube-каналі Rashkin Report.
