Июнь 2024 года был «щедр» на атаки в финансовом секторе, организованные хактивистами. Не будем называть имена пострадавших игроков, дабы не делать рекламы злоумышленникам. Но, полагаем, все, кто читал газеты или просматривал новостные сайты в июне, в курсе, насколько серьёзные организации оказались под ударом.
Возникают вопросы, почему у этих игроков недоступность сервисов в принципе стала возможной. И кто может стать следующей жертвой? Успешными атаки, вероятно, стали из-за новой тактики DDoS-атак хактивистов. Следующими их жертвами могут стать операторы ЦФА (цифровых финансовых активов — инструмента для инвестиций на базе современных технологий: блокчейна и смарт-контрактов — Прим. ред.), как очень заметные на рынке, но пока ещё не столь защищённые, как банки.
ОРИЕНТАЦИЯ НА РЕЗОНАНС
В последние годы финансовая отрасль была под прицелом политически мотивированных злоумышленников. Servicepipe фиксировал первые атаки хактивистов ещё в конце февраля 2022 года, и с тех пор их интерес к отрасли не ослабевает. Например, банки традиционно входят в топ-3 наиболее атакуемых организаций. По итогам I квартала 2024 года практически четверть всех DDoS-атак, обрушившихся на российский бизнес, была именно на кредитные организации. Ещё 12% пришлось на микрокредиторов, 10% атак — на брокеров, 3% — на страховые компании. Фиксировались также атаки на коллекторские агентства, которые до 2024 года были в принципе вне сферы интересов хактивистов. Таким образом, на сегодняшний день операторы ЦФА — одни из немногих участников финансового рынка, на которых пока ещё не было совершено громких покушений. Будет ли это продолжаться и дальше? Маловероятно. И в первую очередь потому, что главная цель хактивистов — пошуметь, атака должна быть максимально громкой, а её жертва — заметной организацией.
ЧТО ПИСАЛИ?
Посмотрим, что писали СМИ в 2024 году об операторах ЦФА. Здесь и принятие закона, по которому ЦФА можно использовать в международных расчётах, и подготовленная Минфином России концепция расчётов ЦФА на базе нацвалют в рамках БРИКС, и объявления о размещении ЦФА на бирже крупнейшими игроками. Операторы ЦФА заметны, они на слуху. Значит, недоступность сервисов этих организаций не пройдёт незаметной.
О РЕЗУЛЬТАТИВНОСТИ АТАК
Результативность атак на операторов ЦФА также может быть велика, поскольку противостоять политически мотивированным хакерам становится всё сложнее: на конец I квартала 2024 г. средняя пиковая мощность атак политически мотивированных злоумышленников выросла до 47 Гбит/с (год назад было 13 Гбит/с). Идут многовекторные атаки, в которых комбинируются различные методы воздействия, объём доходит до 400 Гбит/с. Длительность атак, организованная хактивистами, также увеличилась: в I квартале 2023 г. средняя DDoS-атака длилась 12 часов, через год — не менее суток, к концу июня — в среднем 4–5 дней.
КОВРОВЫЕ АТАКИ
В 2024 году также чётко прослеживается тренд на так называемые ковровые атаки, жертвами которых становились и компании финансового сектора, когда злоумышленники одновременно атаковали сразу целые диапазоны адресов и подсетей (не перебором, а все и сразу). Подобные атаки создают перегрузку пограничного сетевого оборудования, что приводит к потере связанности сетей с интернетом. При стандартной атаке, направленной на конкретный ресурс / IP-адрес или группу IP-адресов, к поступающему на них паразитному трафику можно было применить метод blackhole (отправка всего трафика по несуществующему маршруту). При «ковровых бомбардировках» так делать нельзя, так как атака направлена сразу на все IP-адреса и отправка трафика в «чёрную дыру» приведёт к той же недоступности ресурса. Это и является целью атакующих.
В частности, именно эта тактика была использована злоумышленниками в атаках на финансовый сектор в двадцатых числах июня. И если даже в атаках на крупнейших игроков отрасли, для которых DDoS-атаки совсем не новость, злоумышленникам удалось добиться недоступности сервисов, то смогут ли операторы ЦФА выстоять под ударами без надлежащей защиты?
ХАКЕРОВ ПРИВЛЕКУТ ДЕНЬГИ
Впрочем, интересны в качестве потенциальных жертв операторы ЦФА могут быть не только атакующим «по зову сердца», но и ради финансовой выгоды. Одна из главных причин — растущие финансовые потоки. Рынок ЦФА хотя и молодой, но быстрорастущий. По оценкам Аналитического кредитного рейтингового агентства (АКРА), объём рынка по находящимся в обращении выпускам ЦФА на конец 2023 года составил порядка 60 млрд руб., и к концу 2026 года планируется, что он вырастет до 500 млрд руб. А чем больше объём операций и чем выше количество пользователей, тем более привлекательна цель атаки.
ОКНО ДОСТУПА
Кроме того, сегодня под постоянным вниманием злоумышленников остаются веб-приложения, которые выступают единым окном доступа к услугам и продуктам компаний. Что как нельзя более актуально для компаний финансового сектора. По сути, такие веб-ресурсы зачастую являются и доступом во внутреннюю инфраструктуру за счёт плотной интеграции с внутренними информационными системами и автоматизации обмена данными между ними. После событий 2022 года и значительного усиления информбезопасности во многих финансовых организациях на передний план выходят сложные целевые атаки, ориентированные на использование уязвимостей веб-приложений и компонентов инфраструктуры. Динамика распространения уязвимостей и скорость их обнаружения впечатляет: почти 29 000 новых уязвимостей было найдено исследователями за 2023 год, и если смотреть статистику, то прирост составляет 10–20% ежегодно. Особым вниманием пользуются API приложений, трафик атак на которые каждый год растёт на 200%. Самыми распространёнными типами атак за 2023 год, по наблюдениям «Вебмониторэкс», являются RCE (эксплуатация критической уязвимости) и XSS (подтип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода, который будет выполнен на компьютере пользователя при открытии им этой страницы, и взаимодействии этого кода с веб-сервером злоумышленника). Они занимают более 50% всего наблюдаемого трафика атак. В основном такой тип атак является частью пошаговой стратегии реализации более сложной целевой атаки, направленной на компрометацию инфраструктуры. И вот вы уже наблюдаете новости об утечках, взломах и дефейсах сайтов компаний.
ЗНАКОМЫЙ СПЕКТР
То есть для операторов ЦФА характерны те же самые угрозы, что и для других финансовых организаций. Кроме уже названных DDoS-атак, это могут быть:
— сотрудников или пользователей платформы раскрыть конфиденциальную
— информацию или совершить действия, которые приведут к компрометации
системы.
ЗОМБИ-АТАКИ
Кроме того, в случае с ЦФА можно ожидать возвращения тех самых атак, которые ещё несколько лет назад были актуальны для финансового сектора. Например, были в своё время так называемые атаки на клиентов кредитных организаций с подменой реквизитов платёжных поручений. Велики риски, что операторы ЦФА также столкнутся с изменением данных транзакций для получения финансовой выгоды, а также с созданием поддельных транзакций для обмана пользователей и платформы.
И похоже, операторы ЦФА понимают, насколько возросли для них киберриски в последний год: некоторые уже подключили защиту «не хуже, чем в серьёзных банках», кто-то находится в процессе переговоров. Потому как возросший риск атак — не просто «пугалка», а реальность, с которой компании этого сегмента могут столкнуться в любой момент.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных