Огонь из 24 тысяч орудий
Как пишу эксперты «Лаборатории Касперского», злоумышленники использовали многовекторные атаки типов syn-flood (атаки на исчерпание ресурсов операционной системы) и http-flood (атаки на веб-сервер с целью вызвать перегрузку и прекращение доступа к ресурсу). Эти сложные атаки практически невозможно отбить стандартными средствами защиты, которые используют операторы связи.
Окончание на стр. 14 èСредняя продолжительность каждой отдельной атаки составила около часа, самая же долгая длилась почти 12 часов. Некоторые банки подверглись атакам неоднократно — «Лаборатория Касперского» зарегистрировала серии от 2 до 4 атак с небольшим интервалом. Их мощность достигала 660 тыс. запросов в секунду, при этом есть основания считать, что это далеко не предел. Ботнет — сеть зараженных устройств, используемых злоумышленниками для атаки, состояла более чем из 24 тыс. машин. Более 50% устройств, входящих в ботнет, располагались на территории США, Индии, Тайваня и Израиля. Всего в атаках участвовали в общей сложности машины из 30 стран мира.
Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ, FinCERT) Центробанка также зафиксировал хакерские атаки на ряд крупных банков, сообщили РИА Новости в пресс-службе регулятора. «В атаке участвуют бот-сети, состоящие из так называемых устройств „интернета вещей“. Мощность атак средняя. Нарушений доступности сервисов банков не фиксировалось», — отметили в ЦБ.
«Российские банки регулярно сталкиваются с DDoS-атаками, которые уже давно стали одним из самых распространенных инструментов, используемых злоумышленниками при нападении на бизнес. Несмотря на то что атакованы были веб-сайты банков, подобные инциденты способны привести к серьезным последствиям, так как у клиентов могут возникнуть трудности с операциями в системах онлайн-банкинга. Подобные атаки могут также играть роль отвлекающего маневра во время сложной целевой атаки на банк», — рассказывает Алексей Киселев, руководитель проекта Kaspersky DDoS Prevention в России.
«Лаборатория Касперского» уже несколько раз отражала DDoS-атаки на веб-ресурсы российских банков. Предыдущая масштабная серия атак произошла в октябре 2015 г., когда были атакованы 8 известных российских банков. А в 2014 г. были успешно нейтрализованы рекордно мощные на тот момент атаки, доходившие до 100 Гб/с.
В случае отсутствия специальной защиты результатом DDoS-атаки может стать прекращение функционирования веб-ресурсов организации, что даже на непродолжительное время влечет за собой крупные потери, как репутационные, так и финансовые. Именно поэтому компаниям важно использовать полноценную систему защиты от подобного типа атак. К примеру, такая защита используется в Сбербанке, который тоже был атакован, но смог успешно блокировать атаку еще на первом контуре защиты.
Клиенты не пострадали
DDoS-атака на Сбербанк не принесла банку и его клиентам потерь, все сервисы работают бесперебойно, сообщил зампред правления банка Станислав Кузнецов, которого цитирует РИА Новости. «В отношении Сбербанка могу сказать, что потерь ноль. Сервисы все работают бесперебойно, — сказал Кузнецов журналистам. — Это очень правильно комментировать в отношении наших клиентов, что они защищены надежно всеми контурами защиты. Мы удовлетворены действиями Центра, созданного для противодействия кибератак. Ни один клиент Сбербанка не пострадал».
Сбербанк ищет организаторов этой скоординированной атаки и найдет их в ближайшее время, заверил Кузнецов. По его словам, крупнейший российский банк это делает вместе с коллегами из служб безопасности других банков и с правоохранительными органами РФ: «Мы этим занимаемся профессионально. Я думаю, скоро мы будем точно знать, кто это организовал».
По словам Кузнецова, центры были расположены в разных странах. «IP-адреса могут быть расположены в разных местах мира, но управляться могут из одной точки», — отметил он.
Пока неизвестно, связана ли прошедшая атака на российские банки с выборами в США, заявил зампред Сбербанка. «Мы об этом не знаем, говорить об этом предположительно некорректно. Такие атаки бывают, для нас это 68 атака. Да, она была чуть мощнее, но это не самая мощная атака», — уточнил Кузнецов.
Примерно с аналогичным заявлением выступил и представитель Центрального банка РФ. Все пять банков из десятки крупнейших в РФ, подвергшиеся DDoS-атаке, успешно ее отразили, сообщил первый зампред ЦБ РФ Сергей Швецов. «По нашей информации, все атаки были успешно отражены. Каких-либо существенных сбоев с предоставлением услуг, с доступом клиентов к сервисам не было», — заявил Швецов в эфире телеканала «Россия 24».
Интернет вещей атакует
Впрочем, если с начала мощность кибератак на крупнейшие российские банки оценивалась как «средняя», то спустя некоторое время отношение поменялось. Мощность DDoS-атак, которые в эти дни были проведены на целый ряд российских банков, в том числе и Сбербанк, в тысячу раз превосходит мощность ранее проводившихся аналогичных акций, сообщил глава крупнейшего российского банка Герман Греф.
«Действительно, была мощная атака. Вообще атаки бывают очень часто, — сказал Греф журналистам. — Мы работали в штатном режиме, никаких перерывов в нашей деятельности не было. Но, к сожалению, и силы, и мощности, и продолжительность DDoS-атак с каждым годом растут».
По словам Грефа, современные DDoS-атаки генерируют трафик обращения к устройствам банка с помощью «интернета вещей», задействуются миллионы устройств и начинают генерировать такой трафик. «Это новое явление, это, конечно, совершенно неприятная история, в силу того что эти DDoS-атаки в тысячу раз более мощные, чем те, которые были раньше, — посетовал Греф. — Но тем не менее наша защита не стоит на месте, мы постоянно совершенствуемся и пока очень успешно все отражаем».
Ответные меры
По данным «Коммерсанта», Центробанк РФ совместно с ФСБ, МВД и Следственным комитетом разработал документ, определяющий порядок сбора доказательств при кибератаках на финансовые компании. Как сообщает издание, проект стандарта ЦБ «Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при переводе денежных средств» разработан в первую очередь для банков. Для более 500 финансовых организаций сформированные в документе требования будут обязательными.
«Работа над этим документом фактически завершена, МВД вносит последние технические правки. Собранные в соответствии с этим регламентом доказательства киберпреступлений будут переданы органам следствия и использованы ими в качестве доказательной базы в суде», — цитирует газета замначальника главного управления безопасности и защиты информации Банка России Артема Сычева.
Совокупный объем средств кредитных организаций, на который покушались кибермошенники, с начала текущего года составил 5 млрд руб., сообщил Сычев в рамках форума FINOPOLIS 2016. «Пять миллиардов рублей — это по состоянию на конец октября с начала года. Это общее покушение на хищение, включая физических, юридических лиц и банки как таковые», — цитирует его слова агентство ТАСС. При этом реальные потери банков в результате кибератак с начала года составили 2 млрд руб., спасти которые не удалось.
По прогнозу Сычева, к концу года будет всплеск кибератак на кредитные организации. В настоящее время ежедневно от банков приходит около пяти-шести сообщений о фактах рассылки вредоносных программ, добавил он.
Один из экспертов издания «Коммерсантъ» отмечает, что всего в правоохранительных органах РФ насчитывается не более тысячи квалифицированных специалистов, на каждого из которых приходится около пяти преступлений в день. Сотрудники банков также зачастую не обладают достаточными навыками для выявления и предотвращения кибератак, признают собеседники газеты.
Вместе с тем достоверной статистики по размеру ущерба экономике России от киберпреступлений не существует из-за низкого уровня защиты от хакеров, но очевидно, что они в разы больше, чем официальные данные, сообщил в интервью РИА Новости зампред правления Сбербанка Станислав Кузнецов. «Очевидно, когда страна не предпринимает решительных шагов по совершенствованию своей киберзащиты, мы не знаем всю достоверную информацию о реальном ущербе для страны», — отметил он.
Сбербанк каждую неделю возвращает на счета клиентов ранее украденные с них деньги на сумму 350–400 млн руб., сообщил Кузнецов: «В социальной инженерии мы спасаем еженедельно 350–400 млн руб., это украденные деньги. Понятно, что преступление совершено, но мы не допустили выдачу денег, не допустили обналичивание, вернули на счета клиентов».
Киберпреступники из группы «Лург», по его словам, только за четыре месяца 2016 г. украли из шести небольших банков РФ 3 млрд руб. «Это знают все — и правоохранительные органы. Часть вернули, часть нет, но они их украли, — сказал Кузнецов. — А потери, которые испытывает от этого экономика, думаю, в разы больше».
Ранее заместитель начальника главного управления безопасности и защиты информации ЦБ Артем Сычев сообщил, что Банк России ожидает рост ущерба от кибермошенничества по итогам 2016 г. на уровне менее 30%, уточнив, что потери банков оцениваются за истекший период года в 5 млрд руб. Ранее глава Сбербанка Герман Греф оценивал размер ущерба в целом экономике РФ от хакеров в 2015 г. в 5,5 млрд долл.
Опасное рождество
Сбербанк в начале 2017 г. планирует запустить платформу для межбанковского обмена информацией о мошенничестве, сообщили РИА Новости в пресс-службе банка: «В настоящий момент мы ведем работу по созданию платформы межбанковского обмена информацией о мошенничестве. К началу следующего года мы планируем запустить рабочий прототип и предложить его заинтересованным участникам для обмена информацией».
«Мы видим большую пользу от такой системы для всех участников финансового сектора в задачах противодействия мошенничеству, а также заинтересованность многих банков в такой системе», — подчеркнули в Сбербанке.
Создание такой межбанковской платформы действительно актуально. Ведь вредоносным атакам подвергаются не только сами банки, но и их клиенты. Эксперты «Лаборатории Касперского» проанализировали информационные угрозы в III квартале 2016 г. По итогам этого периода Россия вышла на первое место в мире по уровню финансовых угроз как для пользователей ПК, так и мобильных устройств.
В компании полагают, что именно сезон отпусков, который в нашей стране традиционно приходится на июль, август и сентябрь, стал причиной таких показателей. Так как в этот период количество онлайн-платежей, совершаемых отпускниками, растет, злоумышленники незамедлительно реагируют на такой тренд.
Так, в III квартале 2016 г. наша страна стала лидером по доле пользователей, атакованных банковскими троянцами для ПК. По данным облачной инфраструктуры Kaspersky Security Network, 4,2% российских пользователей столкнулись с такими финансовыми угрозами.
Кроме того, Россия снова возглавила рейтинг по количеству пользователей, атакованных мобильными банковскими троянцами. По сравнению со II кварталом этого года доля атакованных практически удвоилась и составила более 3% от всех пользователей Kaspersky Security Network в стране.
«Грядущий новогодний сезон, скорее всего, изменит показатели активности вредоносного ПО в странах, где этот праздник пользуется популярностью, и не исключено, что рейтинг самых атакуемых с помощью банковского вредоносного ПО стран изменится в сторону зимних курортов. Однако жертвы, т. е. туристы, желающие оперативно купить тур дома, быстро оплатить что-то в путешествии или срочно поделиться новыми фото в соцсетях, по-прежнему будут находиться под угрозой, которая будет ожидать их не только в родной стране, но и в популярных туристических местах, — рассуждает антивирусный эксперт „Лаборатории Касперского“ Денис Макрушин. — Пользователям стоит обратить внимание на это и быть более осторожными в сети, чтобы не омрачить Рождество и Новый год потерей денег или ценной информации на своем устройстве».
Алексей Численко
