Що відомо про DDoS-атаку на держсайти та банки: пік до 150 Гбіт/с, ймовірно з РФ

15 лютого 2022 року пройшло кілька хвиль атаки на українські державні сайти, а також на сайти та сервіси багатьох українських банків. На ранок 16 лютого більшість ресурсів відновила роботу, проте за даними Міноборони, на їхній сайт атака ще триває. AIN.UA зібрав нові дані про DDoS, що відомі зараз.

Що сталося 15 лютого

Ще вночі 15 числа користувачі отримували SMS-ки про те, що банкомати «ПриватБанка» начебто не працюватимуть. Вона йшла з польських номерів і була оформлена не надто старанно: видно було, що повідомлення неофіційне, і в банку його одразу ж спростували. Але ближче до кінця робочого дня 15 лютого сайт та інтернет-банкінг «ПриватБанка» пішли в офлайн, як і сервіси «Ощадбанку».

Згодом у банках повідомили, що причиною була масштабна DDoS-атака.

DDoS-атаки відбуваються по доволі простій схемі: виконавці посилають запити, створюючи велике навантаження, сервери намагаються на них відповідати. Для цього можуть використувувати або орендувати ботнети зі зламаних пристроїв (роутерів, IoT-девайсів, комп’ютерів). Виконавці зазвичай витрачають на такі атаки на порядок менше ресурсів ніж ті, хто від них захищається.

Виявилось, що її цілями булі й інші банки:  «А-Банк», «Альфа Банк Україна» та monobank, які від неї не постраждали. Водночас в офлайн пішли сайти кількох українських відомств, зокрема портал Міноборони, ЗСУ та Міністерства з питань реінтеграції тимчасово окупованих територій.

Як AIN.UA повідомили у «ПриватБанку», атака була доволі масштабною, йшла у три хвилі, тривала кілька годин, і протягом години деякі сервіси, зокрема, сайт, банкомати та інтернет-банкінг не працювали. Проблеми з доступом до «Приват24» були до ночі.

Міністр цифрової трансформації Михайло Федоров повідомив, що атакували також і портал «Дія». Але атаку вдалось відбити.

А атака на держсайти тривала до ранку 16 лютого. У коментарі виданню Liga.net Міноборони повідомили, що їхній сайт захищений від класичних DDoS-атак, тому вдалися до пошуку вразливих місць у коді самого сайту.

За даними СБУ, фахівці ситуаційного центру забезпечення кібербезпеки цієї служби лише у січні 2022 року нейтралізували 121 кібератаку на державні органи.

Деталі про атаку

Фахівець із кібербезпеки, Senior Consultant у Armorum Solutions Кір Важницький пояснив AIN.UA хронологію та логіку атаки:

«Ціллю на початку були “ПриватБанк”, “Ощадбанк” та вебсервери МОУ та ЗСУ. “ПриватБанк” намагався втримати більш критичні сервіси (транзакції, термінали), жертвуючи менш критичними, додатком “Приват24”. “Ощад” теж через деякий час впорався. Вебсервери МОУ та ЗСУ, на жаль, — не гравці цього рівня, в них майже не було шансів.

Потім акцент змістився на оператора “Датагруп”, де обслуговуються DNS-сервери домену gov.ua (про цей етап атаки детальніше написано нижче — ред.). Цю частку атаки досить швидко зупинили співробітники оператора, додавши більше anycast-серверів. Але деякі сайти (МОУ, ДСНС) не вмикали, щоб знизити навантаження».

У компанії «Хостмастер», яка адмініструє домени в зоні .ua, редактору AIN.UA повідомили додаткові дані про атаку в зоні gov.ua:

• Атаку спрямували проти сайтів у домені gov.ua. Під час атаки також було підвищене навантаження на DNS-сервери, що забезпечують роботу доменів у com.ua та org.ua.
• Вона була доволі потужна: до 150 Гбіт/с у пікові моменти. Для порівняння, одна з найпотужніших нещодавніх DDoS-атак, за даними Akamai, відбулася весною 2021 року на європейську гемблінгову компанію, на рівні 800 Гбіт/с.
• Атаку на держсайти посилив ще й «ефект доміно»:

«Ми спостерігали численні атаки і все ще боремося», — розповідав AIN.UA уночі адміністратор домену .ua Дмитро Кохманюк. — 65 Гбіт/с — це лише один з вузлів, і їх було чимало. На жаль, кілька провайдерів почали відключати наше обладнання від інтернету, що призвело до ефекту доміно та збільшенню навантаження на інші вузли».

• Атака на держресурси, за даними «Хостмастера», почалася 15 лютого о 20:21 і тривала більше п’ятьох годин. Її джерелом були як закордонні, так і українські IP-адреси, одначе детальніших даних про географію у компанії поки немає.
• Уночі з 15 на 16 лютого спеціалістам компанії вдалося підключити резервні сервери, що дозволило підтримати доменну систему у робочому стані.

Яка можлива мета і виконавці

З вечора 15 лютого українські експерти з кібербезпеки обговорюють можливих виконавців та мету атаки. Лунали думки, що ця атака від 15 лютого пов’язана із атакою 14 січня 2022 року. Щодо виконавців: у Мінцифри говорили про атаку з РФ, Центр стратегічної комунікації при Мінкульті також натякав у релізі, що замовники атаки звідти.

«Початковий вектор — Росія та Китай. Десь 600 000 пакетів шкідливого трафіку в секунду. Наші фахівці швидко «обрізали» цей напрямок, але атака повернулася вже із Чехії та Узбекистану», — писав міністр цифрової трансформації Михайло Федоров.

Влад Стиран, CEO Berezha Security Group, опублікував аналіз, де пояснив, як відбуваються такі атаки, та як від них захищатися. У коментарі AIN.UA він повідомив, що не вважає атаку 15 лютого пов’язаною із січневою атакою. А також, що Центр стратегічної комунікації ймовірно правий щодо її замовників, і що цей інцидент може бути прикриттям для більш серйозної атаки:

«Ймовірність того, що ці дві атаки пов’язані — низька. DDoS може запустити будь-хто, це — найтупіша та найдешевша атака в інтернеті. Проте це водночас — і непогана диверсія, це може бути “пристрілка”, як кажуть артилеристи: перевіряють, скільки нам треба, щоб впасти. Інтуїція підказує мені, що справжня атака зараз — невидима, в іншому випадку це якась дитяча витівка, а не атака».

Фахівець із кібербезпеки, Senior Consultant у Armorum Solutions Кір Важницький вважає, що із атакою 14 січня даний інцидент пов’язаний виключно замовником (РФ) та метою — посіяти паніку та недовіру.

«Ще одна особливість DDoS-атак — майже неможливо встановити джерело, запити йдуть з усього світу. Це типово як для атак, спонсованих державою, так і для атак з комерційною метою», — говорить він.

Будемо доповнювати матеріал.