DDoS-атака на российские банки: что показал трафик

В период с 8 по 12 ноября сайты ряда крупнейших российских банков подверглись массированным DDoS-атакам. Поначалу в этом не было ничего необычного – любой известный банк периодически атакуют, – но дальнейшие события развивались в ключе, позволяющим предположить высокий уровень организации кампании.

Первые атаки 8 ноября затронули два банка, однако уже в 16:00 по московскому времени аналогичные атаки обрушились еще на три банка. Чуть позже к списку целей добавился четвертый.

9 ноября в 3 часа утра наступило затишье, продлившееся до вечера, когда один из банков столкнулся с повторной атакой. Около 5 часов утра 10 ноября была зафиксирована новая волна атак.

Самое большое количество атак было зафиксировано в период между 5 и 8 утра 11 ноября – в этот период с интервалом в 10 минут были выявлены одиннадцать атак на разные цели – сайты-визитки банков и системы онлайн-банкинга. Все атаки продолжались примерно по часу и были схожи с атаками, обнаруженными в предыдущие дни.

В последующие дни новые атаки не фиксировались, однако часть ранее начавшихся атак продолжалась до утра 14 ноября.

«Лаборатория Касперского» получала оперативные данные из первых рук: часть атакованных банков являются нашими клиентами, и они своевременно переключили траффик на центры очистки Kaspersky DDoS Prevention, еще несколько подключились уже после начала акции. Это обеспечило аналитикам «Лаборатории Касперского» доступ к паттернам атак, и дало возможность сделать ряд выводов об их характере.

• Злоумышленники комбинировали методы атаки. Применялся как SYN Flood, истощающий ресурсы операционной системы, так и HTTP/HTTPS Flood, перегружающий целевой веб-сервер.
• Самая продолжительная атака этой кампании длилась 4 дня 6 часов и 34 минуты;
• Пиковая мощность атаки – 660 тысяч запросов в секунду, в то время как средняя нагрузка на сайт-визитку крупного банка в рабочее время редко превышает 1 тысячу запросов в секунду;
• В атаке участвовали несколько ботнетов, «специализирующихся» на разных видах атак. Всего было заблокировано порядка 24 тысяч уникальных ботов;
• Анализ трафика показал, что указания на Mirai, преждевременно появившиеся в прессе, неоправданы: один из ботнетов действительно был построен на основе IoT-устройств, однако использовался другой бот.
• Участвовавшие в атаках боты расположены в 30 различных странах. Более половины находятся в США, Индии, Тайване и Израиле.

Самые мощные атаки начинались, когда в Москве было раннее утро, что на первый взгляд нелогично – количество посетителей на целевых сайтах банка в это время невелико. Это можно объяснить прощупыванием цели: атакующие начинали нагружать сайты относительно простыми атаками типа SYN Flood и HTTP Flood, определяя возможности защитных систем отфильтровать пакеты мусорного траффика. Малое количество легитимных посетителей должно было позволить им достаточно точно определить частоту запросов, необходимую для создания ситуации отказа в обслуживании.

В случае банков, защищаемых Kaspersky DDoS Prevention, атаки успеха не имели. Осознав это, злоумышленники начинали действовать по более сложной и ресурсоемкой методике – посредством HTTPS-запросов, причем в ряде случаев перенеся фокус атаки на системы интернет-банкинга. Так как траффик HTTPS-сессии зашифрован, проанализировать и отфильтровать его, находясь на позиции вне атакуемой сети, невозможно. За счет возможности анализа трафика на площадке заказчика (для этого используется отдельный компонент, так называемый «сенсор»), мы получали статистические параметры запросов, с использованием которых формировались параметры фильтрации непосредственно в облаке. В дополнение к этому результаты анализа передавались IT-службам банков, которые при необходимости успешно формировали меры противодействия на своей стороне.

Продуманная тактика, применение комбинированных методик и масштаб кампании говорят о высоком уровне организованности атакующих – действовали профессионалы. В случае одного из банков после успешного отражения всех атак была применена хитроумная методика атаки уровня приложения, эксплуатирующая уязвимость веб-сервера. Это также свидетельствует о высокой квалификации злоумышленников.

Цели проведенной кампании определить затруднительно: это может быть шантаж, отвлечение внимания от хакерской атаки на банковские системы, политический хактивизм. Однако тот факт, что в первую очередь атаковались именно сайты-визитки банков, а уже в случае неуспеха злоумышленники переключались на системы дистанционного обслуживания, позволяет сделать вывод, что организаторов атаки интересовала скорее огласка, чем нанесение реального ущерба финансовым институтам.

В определенной степени наши выводы коррелируют с появившимися в прессе сообщениями о том, что кампания была заказана некоему DDoS-сервису. По словам его владельца, заказчики атак были недовольны влиянием, которое Россия якобы оказала на выборы президента США, и сайты крупных российских банков были выбраны в качестве заметных целей, затруднения в работе которых неизбежно буду замечены.