Предупреждён — вооружён! Обнаружена будущая цель хактивистов — операторы ЦФА

BIS Journal №3(54)2024

19 июля, 2024

Предупреждён — вооружён! Обнаружена будущая цель хактивистов — операторы ЦФА

Июнь 2024 года был «щедр» на атаки в финансовом секторе, организованные хактивистами. Не будем называть имена пострадавших игроков, дабы не делать рекламы злоумышленникам. Но, полагаем, все, кто читал газеты или просматривал новостные сайты в июне, в курсе, насколько серьёзные организации оказались под ударом.

Возникают вопросы, почему у этих игроков недоступность сервисов в принципе стала возможной. И кто может стать следующей жертвой? Успешными атаки, вероятно, стали из-за новой тактики DDoS-атак хактивистов. Следующими их жертвами могут стать операторы ЦФА (цифровых финансовых активов — инструмента для инвестиций на базе современных технологий: блокчейна и смарт-контрактов — Прим. ред.), как очень заметные на рынке, но пока ещё не столь защищённые, как банки.

 

ОРИЕНТАЦИЯ НА РЕЗОНАНС

В последние годы финансовая отрасль была под прицелом политически мотивированных злоумышленников. Servicepipe фиксировал первые атаки хактивистов ещё в конце февраля 2022 года, и с тех пор их интерес к отрасли не ослабевает. Например, банки традиционно входят в топ-3 наиболее атакуемых организаций. По итогам I квартала 2024 года практически четверть всех DDoS-атак, обрушившихся на российский бизнес, была именно на кредитные организации. Ещё 12% пришлось на микрокредиторов, 10% атак — на брокеров, 3% — на страховые компании. Фиксировались также атаки на коллекторские агентства, которые до 2024 года были в принципе вне сферы интересов хактивистов. Таким образом, на сегодняшний день операторы ЦФА — одни из немногих участников финансового рынка, на которых пока ещё не было совершено громких покушений. Будет ли это продолжаться и дальше? Маловероятно. И в первую очередь потому, что главная цель хактивистов — пошуметь, атака должна быть максимально громкой, а её жертва — заметной организацией.

 

ЧТО ПИСАЛИ?

Посмотрим, что писали СМИ в 2024 году об операторах ЦФА. Здесь и принятие закона, по которому ЦФА можно использовать в международных расчётах, и подготовленная Минфином России концепция расчётов ЦФА на базе нацвалют в рамках БРИКС, и объявления о размещении ЦФА на бирже крупнейшими игроками. Операторы ЦФА заметны, они на слуху. Значит, недоступность сервисов этих организаций не пройдёт незаметной.

 

О РЕЗУЛЬТАТИВНОСТИ АТАК

Результативность атак на операторов ЦФА также может быть велика, поскольку противостоять политически мотивированным хакерам становится всё сложнее: на конец I квартала 2024 г. средняя пиковая мощность атак политически мотивированных злоумышленников выросла до 47 Гбит/с (год назад было 13 Гбит/с). Идут многовекторные атаки, в которых комбинируются различные методы воздействия, объём доходит до 400 Гбит/с. Длительность атак, организованная хактивистами, также увеличилась: в I квартале 2023 г. средняя DDoS-атака длилась 12 часов, через год — не менее суток, к концу июня — в среднем 4–5 дней.

 

КОВРОВЫЕ АТАКИ

В 2024 году также чётко прослеживается тренд на так называемые ковровые атаки, жертвами которых становились и компании финансового сектора, когда злоумышленники одновременно атаковали сразу целые диапазоны адресов и подсетей (не перебором, а все и сразу). Подобные атаки создают перегрузку пограничного сетевого оборудования, что приводит к потере связанности сетей с интернетом. При стандартной атаке, направленной на конкретный ресурс / IP-адрес или группу IP-адресов, к поступающему на них паразитному трафику можно было применить метод blackhole (отправка всего трафика по несуществующему маршруту). При «ковровых бомбардировках» так делать нельзя, так как атака направлена сразу на все IP-адреса и отправка трафика в «чёрную дыру» приведёт к той же недоступности ресурса. Это и является целью атакующих. 

В частности, именно эта тактика была использована злоумышленниками в атаках на финансовый сектор в двадцатых числах июня. И если даже в атаках на крупнейших игроков отрасли, для которых DDoS-атаки совсем не новость, злоумышленникам удалось добиться недоступности сервисов, то смогут ли операторы ЦФА выстоять под ударами без надлежащей защиты? 

 

ХАКЕРОВ ПРИВЛЕКУТ ДЕНЬГИ

Впрочем, интересны в качестве потенциальных жертв операторы ЦФА могут быть не только атакующим «по зову сердца», но и ради финансовой выгоды. Одна из главных причин — растущие финансовые потоки. Рынок ЦФА хотя и молодой, но быстрорастущий. По оценкам Аналитического кредитного рейтингового агентства (АКРА), объём рынка по находящимся в обращении выпускам ЦФА на конец 2023 года составил порядка 60 млрд руб., и к концу 2026 года планируется, что он вырастет до 500 млрд руб. А чем больше объём операций и чем выше количество пользователей, тем более привлекательна цель атаки. 

 

ОКНО ДОСТУПА

Кроме того, сегодня под постоянным вниманием злоумышленников остаются веб-приложения, которые выступают единым окном доступа к услугам и продуктам компаний. Что как нельзя более актуально для компаний финансового сектора. По сути, такие веб-ресурсы зачастую являются и доступом во внутреннюю инфраструктуру за счёт плотной интеграции с внутренними информационными системами и автоматизации обмена данными между ними. После событий 2022 года и значительного усиления информбезопасности во многих финансовых организациях на передний план выходят сложные целевые атаки, ориентированные на использование уязвимостей веб-приложений и компонентов инфраструктуры. Динамика распространения уязвимостей и скорость их обнаружения впечатляет: почти 29 000 новых уязвимостей было найдено исследователями за 2023 год, и если смотреть статистику, то прирост составляет 10–20% ежегодно. Особым вниманием пользуются API приложений, трафик атак на которые каждый год растёт на 200%. Самыми распространёнными типами атак за 2023 год, по наблюдениям «Вебмониторэкс», являются RCE (эксплуатация критической уязвимости) и XSS (подтип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода, который будет выполнен на компьютере пользователя при открытии им этой страницы, и взаимодействии этого кода с веб-сервером злоумышленника). Они занимают более 50% всего наблюдаемого трафика атак. В основном такой тип атак является частью пошаговой стратегии реализации более сложной целевой атаки, направленной на компрометацию инфраструктуры. И вот вы уже наблюдаете новости об утечках, взломах и дефейсах сайтов компаний. 

 

ЗНАКОМЫЙ СПЕКТР

То есть для операторов ЦФА характерны те же самые угрозы, что и для других финансовых организаций. Кроме уже названных DDoS-атак, это могут быть:

  • фишинг: мошенники могут использовать поддельные электронные письма и веб-сайты, чтобы обманом получить учётные данные пользователей и доступ к их цифровым активам;
  • вредоносные программы, которые могут быть использованы для кражи данных, манипуляции с транзакциями или для блокирования доступа к системам;
  • эксплуатация уязвимостей: хакеры могут использовать уязвимости в программном обеспечении платформы и API для получения несанкционированного доступа к системам и данным;
  • атаки на смарт-контракты: смарт-контракты, используемые для управления ЦФА, могут содержать ошибки или уязвимости, которые злоумышленники могут использовать для кражи средств или изменения условий контракта;
  • социальная инженерия: злоумышленники могут обманом заставить

— сотрудников или пользователей платформы раскрыть конфиденциальную

— информацию или совершить действия, которые приведут к компрометации

системы.

 

ЗОМБИ-АТАКИ

Кроме того, в  случае с  ЦФА можно ожидать возвращения тех самых атак, которые ещё несколько лет назад были актуальны для финансового сектора. Например, были в своё время так называемые атаки на клиентов кредитных организаций с подменой реквизитов платёжных поручений. Велики риски, что операторы ЦФА также столкнутся с изменением данных транзакций для получения финансовой выгоды, а также с созданием поддельных транзакций для обмана пользователей и платформы. 

И похоже, операторы ЦФА понимают, насколько возросли для них киберриски в последний год: некоторые уже подключили защиту «не хуже, чем в серьёзных банках», кто-то находится в процессе переговоров. Потому как возросший риск атак — не просто «пугалка», а реальность, с которой компании этого сегмента могут столкнуться в любой момент. 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

24.01.2025
Банки будут передавать друг другу QR-платежи «бесшовно»
24.01.2025
Европол: Анонимность — это не основополагающее право
24.01.2025
Землю под дата-центрами защитят положения нового закона
24.01.2025
LinkedIn обвиняют в тайном подкармливании чужих нейросетей
24.01.2025
Куда смотрят российские айтишники
23.01.2025
Сокращение издержек или самосаботаж? Трамп избавляется от ИБ-консультантов
23.01.2025
АРПП: Хакеры обращают российских айтишников в «кротов»
23.01.2025
В ИТ-секторе рассказали о впечатлениях от отечественного инфраструктурного ПО
23.01.2025
Микроблогеров не берут в специальный реестр Роскомнадзора
23.01.2025
Хакеры отравляют и перекрашивают чужие мобильные приложения

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных