Хронология DDoS-атаки на российские банки

По итогам анализа событий ИБ и журналов web-серверов воссоздана хронология действий злоумышленников, которую мы приводим ниже.

8 ноября:

• Злоумышленники делали попытки эксплуатации уязвимостей, обрабатывали
  скриптами параметры запросов, пытались сформировать запросы, приводящие к нарушению работы приложений.
• Шло изучение слабых мест банка, злоумышленники пытались найти способы создания специфической атаки, которая бы гарантированно вывела сайт банка из строя.

9 ноября:

• С полуночи до шести часов утра проводилась атака малой мощности (до 10 Мбит/с) syn flood, направленная на исчерпание ресурсов web-серверов. Локальная система защиты от DDoS банка успешно отражала эту атаку.
• В первой половине дня оператор связи, чьи каналы использовались для проведения DDoS, успешно отражал атаки мощностью до 350 Мбит/с.
• Специалисты банка, оценив серьезность угрозы, начали оперативно подключаться к одному из российских облачных сервисов по защите от DDoS. Подключение завершилось к концу дня.
• Злоумышленники поняли неэффективность проводимых атак и начали перебирать варианты: были испробованы как низкоуровневые и простые (icmp flood, syn flood, spoofed syn flood), так и уровня приложений.
• Хакеры направили основной вектор атаки через зашифрованный трафик HTTPS с большой интенсивностью. Так как криптография требует много вычислительных мощностей, системы банка не справились с нагрузкой.
• Сайт лег, клиенты не могли зайти на главную страницу и воспользоваться интернет-банком. Специалистам банка пришлось экстренно адаптировать инфраструктуру: шифрование было вынесено на отдельные узлы повышенной мощности, на части страниц сайта пришлось отключить HTTPS.
• Принятые меры позволили исправить ситуацию, но несколько часов сайт работал со сбоями.