Атаки начались во вторник, 8 ноября, около 16:00 МСК. Атакованы веб-сайты как минимум пяти организаций из ТОП-10 российского банковского рынка.
Средняя продолжительность каждой атаки составила около часа, самая долгая длилась почти 12 часов. Некоторые банки подвергались атакам неоднократно – от двух до четырех атак с небольшим интервалом между ними. Мощность атак достигала 660 000 запросов в секунду. Для атак использовался ботнет, который состоит более чем из 24 000 машин. Более 50% устройств, входящих в ботнет, находятся на территории США, Индии, Тайваня и Израиля. Всего в атаках участвовали в общей сложности машины из 30 стран. И да, это ботнет на основе Mirai. Про данный ботнет уже и на Википедии есть статья.
«Системы защиты банка отработали надежно, атака была оперативно обнаружена и локализована подразделениями киберзащиты Сбербанка», — сообщает Сбербанк.
Альфа-Банк говорит, что DDoS-атака была «достаточно краткосрочная и слабая» и не повлияла на работу бизнес-систем.
«В ЦБ знают об этих атаках. Участвует ботнет из серии «интернет вещей». Мощность не очень большая. Под атакой порядка пяти банков со вчерашнего дня», — сказал собеседник агентства.
Однако, помимо источника, близкого к ЦБ, есть и другие источники информации. Так, в статье на http://motherboard.vice.com организатор атаки объясняет, что это сделано по заказу клиентов, которых раздражает вмешательство России в американские выборы.
Хакер, называющий себя vimproducts, взял на себя ответственность за кибератаки на сайты Московской биржи, Банка Москвы, Росбанка и Альфа-Банка. Помимо этого, он попытался обрушить сайт Минэкономразвития России.
Vimproducts не уточнил, сколько стоила такая атака, однако сказал, что обычно берет от $25 до $150 в день в зависимости от сайта. За $150 он готов вывести из строя «защищенные или средние/крупные web-сайты. Безусловно, эти атаки (на ресурсы российских банков) стоят дороже». Также киберпреступник пытался прорекламировать свои услуги, а именно просил Motherboard разместить в статье ссылку на свой профиль на торговой площадке AlphaBay, но издание отклонило просьбу.
Также есть мнение, что некоторые организаторы DDoS-атак применяют их как отвлекающий маневр, чтобы скрыть другую атаку.
А я напомню, что в сентябре 2016 года, после публикации статьи о группировках, которые продают услуги ботнетов для DDoS-атак, веб-сайт журналиста Брайана Кребса (некоторые расследования которого я переводил тут и тут), сам стал жертвой DDoS-атаки.
После этого, в октябре, злоумышленники опубликовали исходные коды использованного вредоносного ПО, чем создали риски неконтролируемого воспроизведения атак другими злоумышленниками.
И эти риски подтвердились: в конце октября была DDoS-атака на DNS-провайдера Dyn, которая вызвала сбои в работе Twitter, CNN, Spotify, Reddit, The New York Times и многих других популярных сайтов. А теперь DDoS-ят и финансовые институты. Вообще почитать про ботнет можно тут или тут.
Последняя масштабная серия DDoS-атак на российские банки (без участия данного ботнета) произошла в октябре 2015 года, когда были атакованы 8 известных финансовых организаций. Всего с октября 2015-го по март 2016-го Центробанк зафиксировал 21 кибератаку на платежные системы российских финансовых организаций.
По материалам: rbc.ru, motherboard.vice.com, vedomosti.ru
Комментарии (18)
AzureSeraphim
10.11.2016 08:52+3А роскомнадзор никто не хочет подосить, а то они уже разжирели делая бяки в инэте. Я конечно понимаю банки это монетизация труда, но…
molnij
10.11.2016 11:16+1Ну, 600000 пакетов по нынешним меркам это действительно, не очень впечатляет.
На того же Кребса на пару порядков выше шла атака
sergix
10.11.2016 12:12+2ответ с твиттера от сбербанк онлайна:
@serg_me сервиса нет, но наши специалисты делают все возможное для устранения неполадок.
защита, видимо, не справилась…
Ziptar
10.11.2016 13:03-4Ну и чего добились эти «заказчики» своими атаками? Затруднили работу малому и среднему бизнесу, который и так воет от действий обнаглевшего правительства и люто его ненавидит. Как это должно повлиять на тот беспредел, который творит наша «власть» во всех сферах своей деятельности?
Nekto_Habr
10.11.2016 15:54+1А с чего вы решили, что «заказчикам» есть дело до предпринимателей, компаний, людей и вообще кого-либо и чего-либо кроме себя и своих интересов?
Ziptar
10.11.2016 16:22Речь идёт не о том, что нарушены интересы простых граждан, речь идёт о том, что цель «навредить государству»/«навредить правительству государства» таким образом достигнута быть не может в существующих реалиях.
Nekto_Habr
10.11.2016 16:48Ну, если заказчик не соврал о своих политических мотивах (что может быть просто прикрытием — мы никогда не узнаем истины), то вред в том, что народ начнёт косо смотреть на государство. Мол, чего вы лезете в американские выборы, из-за этого хлеб с молоком картой не оплатишь. Только всё это как-то по-детски. Мое мнение — хакеры действуют в своих интересах, возможно просто с целью нажиться, стрясти зелени с банков. А политика — просто прикрытие, оно всех устраивает и все охотно верят в такой мотив. Очень легко пустить расследование по ложному следу или просто создать шумиху между странами, в которой все постепенно забудут об атаке.
Ziptar
10.11.2016 16:49> то вред в том, что народ начнёт косо смотреть на государство. Мол, чего вы лезете в американские выборы, из-за этого хлеб с молоком картой не оплатишь.
В том то и дело, что в реалиях нашей страны это бред полный.
С остальным согласен.
Linder666
10.11.2016 14:53+1Так, в статье на http://motherboard.vice.com организатор атаки объясняет, что это сделано по заказу клиентов, которых раздражает вмешательство России в американские выборы.
Пруфы где? Или хакер(ы) просто так, на слово поверили?
Kpblc
Mr. Robot?