16 октября 2013

«Лаборатория Касперского» защитила крупнейшие банки от DDoS-атак

Бизнес

30 сентября на ресурсе одной из групп так называемых анонимных хактивистов появилось видеообращение, в котором говорилось о планирующихся сетевых атаках на ряд крупных российских банков. Угрозы национальной банковской системе сопровождались политическими лозунгами, что позволяло расценить готовящуюся акцию как виртуальный теракт. На деле, правда, эта акция у злоумышленников получилась совсем не такой, как обещалось.

Некоторые из перечисленных банков являются нашими заказчиками. Часть наших коллег считала, что это только угрозы и до реальных действий дело не дойдет, так как цели злоумышленники ставили перед собой более чем грандиозные: обрушить российскую банковскую систему, обеспечив недоступность онлайн сервисов крупнейших банков.

Утром 1 октября была осуществлена попытка реализовать обещанный сценарий – веб-сайт Сбербанка подвергся DDoS-атаке уровня приложений (HTTP Flood). Объем мусорного трафика не представлял опасности для канала, так как мощность атаки была невысока. В то же время она учитывала особенности работы веб-сервера и без применения специализированных средств защиты гарантированно обеспечивала недоступность веб-сайта. После переключения трафика на систему защиты «Лаборатории Касперского», атака была полностью отражена, а сайт банка продолжил работу в обычном режиме. При этом, несмотря на доступность сайта для пользователей, атака продолжалась до утра следующего дня. Поняв, что их действия не имеют должного эффекта, злоумышленники стали последовательно переключать свое внимание на следующие по списку цели: Альфа-Банк, атака на который продолжалась до 3 октября, и Газпромбанк. Однако и тут хоть сколько-нибудь реализовать свой план преступникам не удалось – сайты банков, хотя и находились под атакой, продолжали отвечать на запросы пользователей и не создавали никаких заметных неудобств в работе.

Практически каждый день к атаке добавлялась новая цель – еще один крупный российский банк. Однако для подавляющего большинства клиентов банков, находящихся под защитой решения Kaspersky DDoS Prevention, действия злоумышленников остались незамеченными, и они смогли продолжить использование онлайн-услуг в обычном режиме.

Стоит отметить, что DDoS-атака на банк с точки зрения пользователя услуг дистанционного банковского обслуживания – это не более чем неудобство, связанное с временной недоступностью веб-страницы банка. Сама система ДБО в ходе подобных атак, как правило, не страдает, поскольку для поддержки сервисов онлайн-банкинга, в большинстве случаев, используются дополнительные сетевые ресурсы, физически разнесенные с теми, на которых расположена веб-страница банка. Таким образом атака сайт совсем не означает наличие каких-либо сложностей у тех клиентов, которые хотят совершить ту или иную операцию и заходят непосредственно на страницу своего аккаунта. У тех же пользователей, которые привыкли использовать для перехода в личный кабинет главную страницу, в случае ее недоступности может возникнуть ложное ощущение наличия реальной угрозы для своих финансовых средств вследствие невозможности доступа к ним, чувство обеспокоенности или даже паники. Очевидно, именно на развитие подобного сценария и делали ставку злоумышленники. Но ничего подобного не произошло: не только услуги ДБО, но и веб-сайтов банков, находящихся под защитой «Лаборатории Касперского» продолжали работать в штатном режиме.

Безусловно, DDoS может быть использован преступниками в качестве отвлекающего маневра для сокрытия другой специфической хакерской атаки. В данном случае такой сценарий реализован не был.

В общем случае при проведении атаки типа «отказ в обслуживании» в более уязвимой позиции по сравнению с пользователем находится банк, для которого невозможность осуществления операционной деятельности неизбежно ведет к издержкам, объем которых, как правило, определяется временем простоя и его стоимостью.

Стоит отметить, что анонсированная атака не сопровождалась какими-либо попытками взлома сетей банков, хищения персональных данных или вмешательства в работу финансовых сервисов, поскольку подобный функционал не заложен в природе самой DDoS-атаки. Ее основная цель – обеспечить временную недоступность определенного веб-ресурса для легитимных пользователей. По всем признакам атакующих можно отнести к политическим хактивистам, которые пытались продемонстрировать уязвимость национальной безопасности страны посредством атаки на крупнейшие системообразующие банки. Но единственное, чего им удалось добиться – это небольшое число сообщений о фактах атаки в прессе. Приблизиться к заявленной цели им так и не удалось.