Разделы

Цифровизация ИТ в банках Маркет

ЦБ раскрыл подробности DDoS-атаки на ведущие банки России

Подробности прошедшей в октябре DDoS-атаки на сайты ведущих российских банков и регулятора рассказал Артем Сычев из Банка России. Сеть машин у атакующих была сравнительно невелика, но поток HTTP-запросов от них был заранее продуман.

Заместитель начальника главного управления безопасности и защиты информации (ГУБЗИ) Банка России (ЦБ) Артем Сычев рассказал CNews о недавней DDoS-атаке (распределенный отказ в обслуживании, при котором из-за большого числа обращений сетевой ресурс перестает реагировать на запросы) на российские банки, которая затронула, в том числе, и регулятора этого рынка – сам ЦБ.

Напомним, в начале октября 2013 г. группа, называющая себя «Кавказские анонимусы», сначала предупредили об атаке на сайты Банка России, Сбербанка, ВТБ, Альфа-банка и т.д. в ролике на YouTube, а затем провела саму акцию.

По словам Сычева, перерывы в работе сайта длились всего около семи минут. «Это время понадобилось для того, чтобы наше оборудование для защиты от DDoS-атак выработало правила противодействия, - заявил он CNews. – Проблемы могли быть в первую очередь с доступом к сайту с зарубежных IP-адресов, т.к. атака велась с машин, находящихся в Европе».

Количество машин в сети атакующих Сычев оценил в 400 компьютеров, из которых одновременно обращались к сайту только около 200. По сравнению с многотысячными масштабами современных бот-сетей это число очень незначительно. Тем не менее, атака была очень хорошо организована и подготовлена, считает он: «HTTP-запросы GET и POST были направлены не на подавление трафика, а на перегрузку серверных мощностей, таргетированы конкретно на наш скрипт с курсами валют».

Артем Сычев называет DDoS-атаку на российские банки небольшой, но хорошо спланированной

По рекомендации ФСБ Банк России для борьбы с атакой временно использовал мощности «Лаборатории Касперского», предоставляющей услугу очистки обращений к сайту заказчика от лишних HTTP-запросов. Задержки загрузки сайта cbr.ru уже после окончания атаки Сычев объясняет переконфигурацией DNS-серверов, нужной для такой фильтрации обращений.

Топ-7 внедрений российского ПО. Рейтинг CNews Analytics
CNEWS ANALYTICS

«В квартал мы фиксируем порядка двух тысяч инцидентов на своем интернет-периметре, - сообщил он. – Но предыдущая настолько хорошо подготовленная атака была в декабре 2012 г». После октябрьского инцидента ЦБ и коммерческие банки обратились в Следственный комитет и другие силовые ведомства. Мотивом организаторов таких акций Сычев называет попытку подрыва доверия к банковской системе и считает их «политическим заказом».

«Нас безумно беспокоит трансграничность преступности, - говорит представитель ЦБ. – Даже если центр управления бот-сетью находится на территории России, то атакующие машины могут иметь зарубежные IP-адреса, и мы не можем пресечь активность злоумышленников».

Артем Сычев также рассказал о позиции ЦБ по другому вопросу, касающемуся информационной безопасности банков - борьбе со скиммингом (считыванием данных с электронных банковских карт с помощью допоборудования, установленного на банкоматах). По словам Сычева, сейчас нет состава преступления в действиях установщиков считывателей, не берущих в руки непосредственно деньги держателей карт, и это требует внесения изменений в уголовный кодекс.

В уголовно-процессуальном кодексе, считает представитель ЦБ, необходимо определить местом совершения подобного преступления территорию, где обслуживается клиент банка. Соответствующие предложения были отправлены в Госдуму еще в конце весенней сессии.

Денис Легезо