Еще 8 ноября 2016 года, в день президентских выборов в США, многие пользователи могли заметить перебои в работе ресурсов Сбербанка, «Альфа-банка» и так далее.
Издание Vice Motherboard сообщало, что также пострадали «ВТБ Банк Москвы», Московская биржа и «Росбанк». По данным издания, ответственность за DDoS-атаки на российские финансовые учреждения взял на себя хакер, известный под псевдонимом vimproduct. Злоумышленник зарабатывает на жизнь, продавая DDoS в качестве услуги, так что осуществить атаку ему не составило большого труда. Журналистам vimproduct пояснил, что «Россия вызвала беспокойство некоторых моих клиентов, повлияв на президентские выборы в США». Хакер не признался, кто именно заказал это нападение, но сообщил, что атака обошлась заказчику весьма дорого. Если обычный день «услуг» vimproduct стоит порядка 25-150 долларов, здесь «сумма, конечно, была совсем другая».
Вечером 9 ноября 2016 года факт атаки подтвердили журналисты «РИА Новости». Издание цитирует собственный источник, близкий к ЦБ:
«В ЦБ знают об этих атаках. Участвует ботнет из серии интернет-вещей. Мощность не очень большая. Под атакой порядка пяти банков со вчерашнего дня».
Также «РИА Новости» приводит комментарии специалистов «Альфа-банка» и Сбербанка.
«Атака была, но достаточно краткосрочная и слабая. Никак не повлияла на работу бизнес-систем Альфа-банка», — сообщили в «Альфа-банке».
«Атаки организованы с ботнетов, включающих десятки тысяч машин, территориально распределенных по нескольким десяткам стран. Системы защиты банка отработали надежно, атака была оперативно обнаружена и локализована подразделениями киберзащиты Сбербанка. Сбоев в работе сервиса для клиентов банка не было», — заявили представители Сбербанка.
При этом в Сбербанке отметили, что мощность атак возрастала: первая атака была зафиксирована утром 8 ноября, а следующая атака вечером уже состояла из нескольких этапов, каждый их которых был вдвое сильнее предыдущего.
«Лаборатория Касперского» назвала случившееся «первой в этом году масштабной DDoS-волной, направленной на российские банки». По данным экспертов компании, атаки начались 8 ноября, около 16:00 по московскому времени, и вечером 9 ноября все еще продолжались. Хакеры атаковали сайты как минимум пяти известных финансовых организаций из топ-10.
«Злоумышленники используют многовекторные атаки типов syn-flood (атаки на исчерпание ресурсов операционной системы) и http-flood (атаки на веб-сервер с целью вызвать перегрузку и прекращение доступа к ресурсу). Это сложные атаки, которые практически невозможно отбить стандартными средствами защиты, которые используют операторы связи», — сообщают специалисты «Лаборатории Касперского».
Эксперты также рассказали представителям «РИА Новости», что средняя продолжительность каждой атаки составила около часа, самая долгая длилась почти 12 часов. Некоторые банки подверглись сериям атак: от двух до четырех атак с небольшим интервалом. Мощность DDoS’а достигла 660 000 запросов в секунду. Атака осуществлялась силами ботнета, состоящего из 24 000 машин. Более 50% устройств, входящих в этот ботнет, находятся на территории США, Индии, Тайваня и Израиля.
