Як ми відбили атаку росіян на Portmone. Колонка головного інженера ВОЛЗ

Російські хакери продовжують атакувати Україну. Під приціл потрапляють не лише державні сервіси, але і приватні компанії. Часто про кіберзахист дбають за залишковим принципом. Головний системний інженер провайдера ВОЛЗ Василь Хомяк у колонці розповідає про те, як росіяни проводили DDoS-атаку на їх клієнта Portmone. Чому план хакерів провалився і які висновки вдалося зробити.

Голова Держспецзв’язку Віктор Жора каже, що Україна є другою країною у світі за кількістю кібератак на неї. Якість цих атак поступово зменшується, але їх кількість не змінюється. Лише на об’єкти енергетичної інфраструктури було здійснено понад 1,2 млн кібератак за 9 місяців війни, порахували в Міненерго.

Головні цілі хакерів, яких фінансує уряд агресора, це державні та критичні сервіси. Однак у РФ є багато окремих груп, які регулярно атакують українські компанії. Вони розповсюджують в Telegram-каналах заклики та інструкції для таких атак і обирають своїми цілями навіть малі бізнеси. Такий кібертероризм приносить компаніям значні збитки.

Одну з таких DDoS-атак компанія ВОЛЗ відбивала для онлайн-сервісу прийому платежів Portmone. Розповідаємо як проходила кібератака, що допомогло її відбити і які збитки могла б зазнати компанія, якби не захищалася.

Атака росіян на Portmone

Як і державні інституції, DDoS-атаки ми фіксуємо щоденно. Доволі часто вони незначні в обсягах і проходять непомітно для клієнтів. Проте, щонайменше раз на тиждень фіксуємо DDoS-атаки з доволі суттєвим об’ємом трафіку, для очистки від якого потрібно застосовувати спеціальні засоби захисту.

Впродовж декількох років зловмисники періодично здійснювали на Portmone DDoS-атаки. Об’єм трафіку під час таких атак був нижчим, ніж замовлена у провайдерів пропускна здатність каналів зв’язку. Тож впроваджені ними локальні системи захисту справлялися з подібними атаками без проблем. У вересні Portmone атакували в черговий раз зі швидкістю трафіку у 20 Гбіт/сек. Цього разу хакерам вдалося покласти сайт, хоча й ненадовго.

У листопаді сталася ще одна атака, в якій ми виявили російський слід. В Telegram-каналах росіян компанія відслідкувала заклики до DDoS-атак на Portmone: адміністратори цих груп залишали посилання на сайт сервісу і його IP. Підписники масово атакували сайт, намагаючись перенавантажити роботу серверів.

О 18:38 стартувала атака зі швидкістю трафіку ~20 Гбіт/сек. Більшою мірою — це була волюметрична атака (Amplification типу SSDP/CLDAP/UDP/NTP/DNS, IP Fragmentation). Тож ~95% цього трафіку були автоматично заблоковані в перші ж секунди системою захисту Arbor Sightline. Система Portmone при цьому працювала, хоча й були помітні незначні затримки. Решту шкідливого трафіку було відфільтровано засобами модуля очистки. Зрозумівши, що атака не досягає своєї мети, о 22:22 зловмисники її зупинили.

Як влаштований захист

Стабільна, безперервна та захищена робота інформаційних систем таких компаній, як Portmone, є критично важливою як на рівні компанії, так і на рівні держави. Інформаційна безпека в цьому випадку має бути на найвищому рівні. Більшою мірою компанія використовує внутрішню команду та ресурси для захисту. Але у випадку з DDoS-атаками, націленими перевантажити пропускну здатність каналів зв’язку, самостійно не впоратися. Важливо, щоб шкідливий трафік був заблокований провайдером ще до того, як потрапить до обладнання клієнта, завантаживши при цьому повністю його зовнішній канал.

Саме тому, обираючи провайдера зв’язку, бізнес-клієнтам важливо чітко розуміти чи володіє провайдер ефективним захистом від DDoS-атак. На сьогодні таких операторів в Україні, на жаль, одиниці.

У деяких команд є детальний план дій на випадок інцидентів, пов’язаних з інформаційною безпекою. У випадку із Portmone план враховує цілу низку аспектів: комунікаційну підтримку партнерів та клієнтів, дії кожного зі спеціалістів департаменту ІТ та інше. Перший такий документ був створений ще у 2007 році та пережив вже 136 версій. Востаннє його переглядали після атаки російських ботів цієї осені.

Скільки коштують збитки від DDoS-атаки

В команді Portmone порахували теоретичні збитки, які компанія могла б зазнати якби атака росіян все ж спрацювала. Без захисту при атаці в 4,5 години компанія втратила б 30-35% транзакцій. Оскільки це платіжна система, через яку проводять платежі інші компанії-партнери, репутаційні втрати були б набагато гіршими. Тим паче під час останньої атаки зловмисники, зрозумівши, що не можуть побороти захист, доволі швидко відступили. Однак, якби атака зазнала успіху і досягла своєї мети — вона могла б продовжуватись набагато довше.

Замість висновків

DDoS-атаки серед наших клієнтів трапляються регулярно: в середньому ми фіксуємо одну масштабну атаку на тиждень. Нещодавно ми відбивали атаку на один з українських великих банків, яка тривала аж добу, навіть попри успішний захист.

Навіть менші бізнеси, ніж Portomone, підключаючи канал Інтернет, повинні поцікавитися у провайдера про кілька речей. По-перше, чи є у нього послуга захисту від DDoS-атак, яким чином вона реалізована. Якщо провайдер не надає таких послуг, бізнесу варто переглянути інші наявні на ринку пропозиції. Інакше компанія ризикує зазнати під час DDoS-атак серйозних збитків, які можуть призвести до повної зупинки роботи компанії.

Справді ефективний захист не може бути безкоштовним. Базовий захист від DDoS-атак у нас коштує ~25% від вартості тарифного плану на послуги інтернет. Тому в бюджеті компанії варто передбачити такий рядок витрат якщо не на постійній основі, то хоча б для критичних ситуацій.

👍ПодобаєтьсяСподобалось7
До обраногоВ обраному1
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Непогана робота. Але хотілося б більше технічних подробиць наступного разу. За якими критеріями налаштована фільтрація, скільки «рівнів» фільтрації, які ресурси були задіяні для процесингу цих 20Гбпс (я би очікував до 10 машин + 1 маршрутизатор).

Єдине що кидається в око, так це оце дурнувате формулювання про «відбиття атаки». Залиште його чиновникам для прес релізів :)

Підписатись на коментарі