rss_feed
calendar_today 4 сентября 2024 г. 14:12
Анатомия июльских атак на финтех-индустрию
Qrator

Июль 2024 оказался очень жарким с точки зрения атак на финансовый сектор. Таргетированные атаки высокой плотности шли по всей инфраструктуре финансовых организаций. Пик нападений пришелся на последние две недели месяца, при этом количество целей злоумышленников оказалось больше, чем число жертв.

В этом посте мы хотим разобрать анатомию атак: рассмотреть самые интересные кейсы, поговорить о том, почему финтех опять стал DDoS-целью номер один, и как от этого защититься.

Причины

В 2023 году DDoS-атаки пошли на спад, и многие из участников рынка, в том числе из финтех-индустрии, упустили из внимания тот факт, что безопасность – это не состояние, а процесс.

То есть те, кто ранее смог успешно нейтрализовать ряд DDoS-атак на свои ресурсы, вышли в состояние безопасности и на этом остановились.

Соответственно, протоколы реагирования на DDoS-атаки не обновлялись, не проводились учения, пересмотр и доработка политик безопасности. При этом бизнес развивался, появлялись новые приложения, микросервисы, а соответственно, и новые точки отказа.

Как действовали злоумышленники

Методом проб и ошибок атакующая сторона стала выявлять элементы бизнеса, не покрытые контрмерами, и после 23 июля многие наши клиенты из индустрии финансов стали испытывать существенные нагрузки: DDoS-атаки буквально сотрясали их инфраструктуру. Технику проводившихся атак можно назвать разведкой боем. Если получалось нанести ущерб, вывести некоторые элементы бизнеса из работоспособности, то злоумышленники закрепляли полученный успех и продолжали атаковать.

Пиковые скорости атак достигали 550 Гб/с, а длительность – более 8 часов.

Мы смогли нейтрализовать все атаки на ресурсы клиентов и сейчас можем анонимно рассказать о самых интересных из них.

Хронология атак была следующая:

  • Первая атака на банк началась 23 июля, достигнув в пике 120 Гб/с. Основная волна длилась с 12:00 до 20:00, но окончательно атака прекратилась только на следующий день в 7 утра.
  • Одновременно с ней 23 июля в 15:10 была зафиксирована атака на другой банк, UDP-флуд интенсивностью 320 Гб/c, продолжительностью 5 минут.
  • На следующий день, 24 июля, в 20:20 с атакой столкнулась платежная система: UDP-флуд интенсивностью 200 Гб/с.
  • 26 июля второй из атакованных банков подвергся комбинированной атаке: в 9 утра L7-флуд с максимальной интенсивностью порядка 250k запросов в секунду, продолжительностью 30 минут. В 11:00 началась атака UDP flood в 350 Гб/с, а днем с 15:45 до 16:20 был зафиксирован флуд фрагментированными пакетами интенсивностью 227 Гб/c.
  • Ночью с 27 на 28 июля снова был зафиксирован UDP flood на первый из атакованных банков интенсивностью 320 Гб/с.
  • А 28 июля в 15:00 еще одна платежная система была атакована UDP флудом длительностью в 40 минут и интенсивностью в 300 Гб/с.

Как построить защиту

Начнем с того, как все устроено в банке с точки зрения безопасности. У современного банка много различных сервисов, достаточно критичных для его бизнеса: это кабинеты физических и юридических лиц, инвестиции, брокерские счета и многое другое.

Если клиенты лишаются доступа к таким сервисам, например, не имеют возможности проверки своих счетов или проведения платежей в активный трейдинговый день, это может привести для них к колоссальным потерям, а значит, и к репутационному ущербу и финансовым издержкам для самого банка. Размещаются подобные сервисы часто в автономной системе банка.

Злоумышленнику, будь то кибервымогатель или хактивист, непринципиально, какой сервис выводить из строя, если при этом банк будет страдать. В идеале, конечно, «положить» все, но атакующий может удовлетвориться и каким-то одним ресурсом. 

Первые атаки обычно начинаются на главный сайт банка, который приносит новых клиентов, но на функционирование сервисов банка никак напрямую не влияет.

Далее могут последовать атаки на IP-адреса автономной системы, чтобы переполнить канал и вывести из строя все сервисы, «живущие» в этой АС. В таком случае у банка могут перестать работать, например, банкоматы, что моментально приведёт к панике среди населения.

Поэтому:

  • Первое, что нужно сделать, – это поставить под защиту главную страницу, потому что на неё придётся первый основной удар. 
  • Второе – провести инвентаризацию всех сервисов банка и продумать стратегию защиты для каждого из них. Наиболее оптимальный вариант – это полноценная защита автономной системы со всеми сервисами, в неё входящими, на постоянной основе.

Однако в ряде случаев банк может договориться с antiDDoS-провайдером о подключении сервиса защиты в случае детектирования проблемы. В такой ситуации как только начинаются  атаки на главную страницу банка, следует немедленно активировать сеть защиты, чтобы не допустить простоев сервисов.

Как защищает Qrator Labs

С помощью собственной геораспределенной сети непрерывной доступности и защиты от DDoS-атак Qrator Labs гарантирует бесперебойное функционирование интернет-ресурсов в режиме 365/24/7. Сеть Qrator Labs, построенная на базе единой архитектуры BGP Anycast, обеспечивает автоматическую нейтрализацию DDoS-атак на всех уровнях OSI, включая L7, и позволяет анализировать и фильтровать HTTPS-трафик без раскрытия ключей шифрования, не нарушая политики безопасности клиента, что особенно актуально для банковской инфраструктуры. Свяжитесь с нами, чтобы узнать больше о том, как мы можем помочь обезопасить ваши интернет-ресурсы и защитить ваш бизнес от угрозы DDoS-атак.