Хакеры нацелились на российский финансовый сектор

Хакеры нацелились на российский финансовый сектор
С начала августа 2021 года российский финансовый рынок подвергается постоянным масштабным DDoS-атакам. При этом злоумышленники продолжают планомерно увеличивать количество и интенсивность атак, а также применять не только хорошо известные, но и самые новые их типы.
Отдельный интерес к российской банковской сфере среди киберпреступников эксперты начали отмечать еще в середине лета 2021 года. В июле Банк России сообщал в СМИ о рисках «заражения» финансовых учреждений через участников их экосистем. На конференции Cyber Polygon 2021, прошедшей в июле, эксперты в области информационной безопасности Тереза Уолш (Teresa Walsh) и Троелс Оертинг (Troels Oerting) отмечали, что вектор атак смещается в сторону сторонних поставщиков организаций [1] , через которые совершается до 40% атак [2] .
В августе ФинЦЕРТ отметил череду масштабных DDoS-атак не менее чем на 12 крупных российских банков, процессинговых компаний и интернет-провайдеров. Запросы шли из США, Латинской Америки и Азии, сообщали СМИ. В начале сентября российский финансовый сектор вновь атаковали: под влияние попали крупные банки и телеком-операторы, предоставляющие им услуги связи.
С 9 августа российский центр мониторинга киберугроз (SOC) международного сервис-провайдера Orange Business Services фиксирует резкий рост количества запросов. Пытаясь достигнуть своей цели, преступники увеличивают их частоту, площадь адресного пространства и мощность. Кроме того, злоумышленники комбинируют не только хорошо известные векторы атак, такие как TCP SYN, DNS Amplification, UDP Flood и HTTPS Flood, но и только недавно обнаруженные, например, DTLS Amplification. Этот тип атак был впервые замечен в конце 2020 года и начал широко применяться в середине этого года. Он использует уязвимости в серверах Citrix [3] , и даже небольшая ботнет-сеть способна проводить большую по мощности атаку.
В общей сложности за месяц, с 9 августа по 9 сентября 2021 года, зафиксировано более 150 атак. При этом их интенсивность постоянно нарастает. В докладе ФинЦЕРТ по итогам 2020 года отмечалось [4] , что самая мощная атака в 2019-2020 годах велась с интенсивностью 49 Гбит/с (на 2 Гбит/с выше рекорда 2018 года). Уже в августе 2021 года SOC Orange Business Services отбивал запросы мощностью 100 Гбит/с, а 6 сентября этот показатель превысил 150 Гбит/с. Преступники пытаются постоянно увеличивать мощность атак в надежде, что телеком-провайдеры не смогут провести очистку трафика в столь больших объемах.
Кроме того в отчетный период злоумышленники задействовали крупные международные ботнеты. Так, SOC Orange Business Services выявил одну из сетей, базирующуюся во Вьетнаме и Южной Америке, насчитывающую более 60 тыс. уникальных IP-адресов, и которая использовалась для организации атак типа HTTPS Flood на сервис верификации платежей 3D Secure. Сложность защиты от этого вектора состоит в том, что трафик зашифрован, и его содержание не видно телеком-оператору, поэтому выделить источники запросов возможно зачастую только при взаимодействии с финансовой организацией.

Злоумышленники также использовали вектор HTTPS Flood для невозможности использования приложения банков, в этом случае атака совершалась с IP-адресов России, Украины и Франции. В других случаях были задействованы ботнет-сети из Тайваня, Индонезии, Китая, России и США.
Увеличивается площадь атакуемого адресного пространства: если в августе фиксировались в основном адресные запросы на конкретные IP-адреса финансовых организаций, то с сентября проводятся атаки, затрагивающие 256 и более адресов за раз. При этом преступники постоянно меняют или комбинируют типы атак для увеличения сложности их отражения. Весь август финансовый рынок имел дело с векторами HTTPS и DNS Amplification, 31 августа к ним добавились атаки TCP SYN, а 2 сентября были зафиксированы векторы IP Fragmentation и DTLS Amplification. Неоднократно фиксировались сразу несколько типов атак, одновременно совершаемых на финансовые организации: к примеру, атака с целью переполнения магистрального канала связи шла параллельно запросам в зашифрованном трафике на сервис платежей.
«По тому, как настойчиво и изобретательно действуют киберпреступники, можно говорить, что мы имеем дело со сложной спланированной акцией, направленной на дестабилизацию как минимум российского финансового рынка. В ответ на эту волну атак мы расширили функционал собственной системы автоматизации защиты от DDoS, сократив время от обнаружения атаки до реакции на нее до нескольких секунд. Дополнительно мы подключаем наиболее подверженных DDoS клиентов к мощностям нашего центра очистки во Франкфурте, способного выдержать атаку до 5 Тбит/c», — говорит операционный директор Orange Business Services в России и СНГ Ольга Баранова.

[1] Борьба с шифровальщиками: каким будет международный ответ? - YouTube


[2] Устойчивые supply chains: защищая бизнес, защищаем людей - YouTube


[3] https://support.citrix.com/article/CTX289674


[4] Attack_2019-2020.pdf (cbr.ru)
Orange business services ФинЦЕРТ ЦБ киберпреступники кибератаки DDoS SOC TCP SYN DTLS Amplification DNS Amplification UDP Floo HTTPS Flood
Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Orange Business Services

Блог компании Orange