Разделы

Безопасность Администратору Техническая защита Бизнес Законодательство Телеком Интернет Интернет-ПО Интернет-доступ Хостинг и домены Цифровизация

Расследование: как «Касперский» спасал «Аэрофлот» от хакерских атак

Летом 2010 г. платежная система «Ассист» подверглась серьезной DDOS-атаке мощностью до 7 Гбит/с, из-за чего в течение недели была недоступна возможность приобретения электронных билетов на сайте «Аэрофлота». «Ассист» обращался за помощью к «Лаборатории Касперского», но ее фильтры не смогли остановить атаку. Правда, в «Лаборатории» ответственность за это перекладывают на сам «Ассист».

В распоряжении CNews оказались 5 томов уголовного дела владельца платежной системы Chronopay Павла Врублевского. ФСБ обвиняет предпринимателя в заказе DDOS-атаки на сервер конкурирующей системы «Ассист», в результате чего летом 2010 г. несколько дней была парализована возможность покупки билетов на сайте «Аэрофлота». В ходе допросов выяснилось, что потерпевшие стороны имеют различный взгляд на причины того, почему атака оказалась успешной.

Сама атака началась в четверг, 15 июля. Целью атакующих были платежные шлюзы «Ассиста», использующиеся для проведения платежей в интересах «Аэрофлота», Google и интернет-магазина Ozon. При этом основной целью атакующих был именно «Аэрофлот». Обработку платежей для авиакомпании осуществлял банк ВТБ-24 и принадлежащий ему процессинговый центр «Мультикарта».

Зайдя на сайт «Аэрофлота» и выбрав нужный рейс, пользователь получал подтверждение бронирования билета от международной системы Sabre. Затем клиента переводили на сайт платежной системы «Ассист» (была субподрядчиком «Мультикарты»). Введенные пользователями данные о картах Visa и Mastercard передавались для авторизации в «Мультикарту», авторизацию по картам American Express «Ассист» проводил самостоятельно. В случае успешного прохождения этой процедуры «Мультикарта» передавала соответствующее сообщение в Sabre для выписывания электронного билета.

Версия «Ассиста»: «Касперский» не справился, обратились в ТТК

До 17 июля «Ассист» справлялся с отражением атаки своими силами, рассказал на допросе технический директор компании Денис Курнаков. Затем мощность атаки была увеличена до 860 Мбит/с. «Ассист» предложил вариант со сменой адресов, использующихся для атаки на «Аэрофлот», но Sabre отказался быстро выполнить эту процедуру. Когда же адрес был изменен, это лишь на время позволило восстановить работоспособность — до смены вектора атаки. Затем адрес был изменен повторно, на что хакеры также ответили сменой вектора атаки.

19 июля, в понедельник, «Ассист» обратился за помощью к «Лаборатории Касперского» (ЛК) для осуществления фильтрации «паразитного» трафика с помощью разработанного этой компанией программного обеспечения Kaspersky Ddos Prevention. В письме, направленной в ЛК гендиректором «Ассист» Геннадием Спириным, гарантировалась оплата услуг антивирусной компании в соответствие с прайс-листом (200 тыс. руб.), а также выражалась готовность в случае успешного отражения атаки заключить на будущее соответствующий договор.

Вечером в понедельник атака стихла. Однако Sabre не мог добиться получения регулярного подтверждения платежа, из-за чего сами билеты не выпускались. В связи с этим «Аэрофлот» и Sabre приняли решение до переключения на «секретный» сервер получения результатов остановить прием платежей.

20 июля было произведено переключение на «секретный сервер», платежи были возобновлены. Однако на следующий день характер атаки резко изменился и фильтры «Касперского» перестали справляться, говорит Курнаков. Тогда было принято решение задействовать второй канал фильтрации — от «Транстелекома» (ТТК). Мощность атаки к тому моменту достигла 7 Гбит/с. По информации от «Транстелекома», в отдельных местах не справлялось оборудование канальных провайдеров и его приходилось перенастраивать.

Далее вся фильтрация была переведена на «Транстелеком», и к полудню 22 июля атака стихла. На следующий день атака возобновилась, но к тому моменту ЛК перенастроила свои фильтры под данную атаку, и ночью 24 июля работу удалось восстановить. Правда, затем характер атаки снова был изменен, и ЛК, по утверждению Курнакова, вновь перестала справляться с ее отражением. Завершилась атака 26 июля.

Версия «Касперского»: «Ассист» использовал устаревшие сервера и ПО

В ЛК не согласны с тем, что их ПО не справилось с фильтрацией «паразитного» трафика. Менеджер проектов компании Михаил Савельев уверяет в своих показаниях, что компания смогла добиться фильтрации «паразитного» трафика на уровне 94-99%, а проблемы возникали с производительностью и настройкой оборудования «Ассиста». Сам «Ассист» обратился к ЛК лишь утром 19 июля, но в течение нескольких часов сотрудники платежной системы не могли предоставить антивирусным специалистам информацию о внутренней структуре сети и осуществить необходимые настройки на их стороне (в частности, построить GRE-тунели для перенаправления очищенного трафика).

В 15:00 того же дня, «после многочисленных просьб со стороны ЛК», «Ассист» предоставил сотрудникам антивирусной компании доступ на управление его оборудованием, и они самостоятельно его настроили. К 16:00 необходимые настройки были осуществлены, и специалисты ЛК стали анализировать трафик, поступающий на сервер «Ассист». К 20:00 были выработаны оптимальные критерии настройки, и работоспособность приема платежей на сайте «Аэрофлота» была практически восстановлена.

Облегченная миграция с Oracle: как осуществить переход на новую СУБД быстрей и проще
Импортозамещение

Однако в ночь на 20 июля опять начались проблемы. Как утверждает Савельев (здесь и далее цитаты по его показаниям), сотрудники «Ассиста» перезагрузили оборудование, настроенное специалистами ЛК, в результате чего была нарушена связь между компонентами системы очистки и серверами платежной системы. К 8 утра работоспособность оборудования силами ЛК была восстановлена, однако от «Ассиста» все равно продолжили приходить жалобы на проблемы с платежными серверами.

Весь вторник ушел у специалистов ЛК на выяснение причин такого поведения. Ситуация была странной, ведь, по данным антивирусной компании, после фильтрации до «Ассиста» доходил лишь 1% от входящего трафика, составлявшего на тот момент 168 Мбит/с.

«С большим трудом нам удалось выяснить, что ПО платежного шлюза работает на непроизводительной аппаратной базе и под управлением устаревшей версии операционной системы, - говорит Савельев. - С нашей стороны поступило предложение перевести весь фильтруемый трафик на площадку, где стоит более мощное оборудование, но оно игнорировалось под предлогом необходимости разобраться в текущей ситуации (хотя представители «Ассиста» сами сообщили о наличие такой площадки)».

По словам Савельева, работу осложняло и то обстоятельство, что от специалистов «Ассиста» в адрес сотрудников ЛК поступала неверная информация (о маршрутизации, конфигурации сервера и его работоспособности, о настроенных правилах фильтрации и т.п.). Также администраторы «Ассиста» не были готовы выполнить какие-либо операции на собственном оборудовании, что приводило к необходимости запрашивать доступ и осуществлять все настройки силами сотрудников ЛК.

Олег Пашинин, «Философия.ИТ» — Как в «Росатоме» импортозаместили западную СЭД
Импортонезависимость

Динамичные хакеры: как менялся тип атаки

Отражению атаки мешали и постоянные смены хакерами ее типа. Изначально тип атаки был «syn-flood» (использует особенности протокола TCP/IP). После начала фильтрации вечером 19 июля произошла первая смена типа атаки: теперь хакеры использовали атаку «https flood», во время которой атакующие компьютерыботы») устанавливали защищенное соединение по порту «443» и забрасывали сервер «мусорными данными».

Вечером во вторник, 20 июля, работоспособность системы была восстановлена и уровень фильтрации достигал 40%, отмечает представитель ЛК. В связи с этим хакеры вновь поменяли тип атаки: теперь использовалась атака «Low rate HTTPS flood». Число «ботов», забрасывающих «мусором» порт «443», резко возросло, в то же время они снизили частоту запросов и по своим статистическим характеристиками сравнялись с трафиком легитимных пользователей.

Специалисты ЛК разработали новую методику отражения атаки и применили ее в своих фильтрах, но затем ЛК на несколько часов потеряла доступ к оборудованию «Ассиста». В ночь на 21 июля работоспособность платежной системы была восстановлена, но вскоре типа атаки опять сменился: хакеры вернулись к «syn-flood». Атака прекратилась 22 июля (ровно через неделю после ее начала), а возобновилась с 23 на 24 июля, но ЛК смогла ее отразить, уверяет Савельев.

Сразу по окончанию атаки «Аэрофлот» разорвал контракт с ВТБ-24 и потребовал от банка компенсировать ущерб в размере 194 млн руб. (в конце прошлого года суд отверг соответствующий иск). «Ассист», в свою очередь, обратился с заявлением в ФСБ. Следствие установило, что заказчиком атаки был Павел Врублевский, исполнителями — братья Игорь и Дмитрий Артимовичи. О том, как ФСБ собирала доказательства по данному делу, с каким трудностями пришлось столкнуться следствию, что думает по сути предъявленных обвинений сам Врублевский — читайте в следующих материалах CNews.

Игорь Королев