Вчерашний сбой СБП произошел из-за DDoS-атаки на НСПК

Вчерашний сбой СБП произошел из-за DDoS-атаки на НСПК

Вчерашний сбой СБП произошел из-за DDoS-атаки на НСПК

Утром 20 июня россияне столкнулись с проблемами онлайн-платежей и переводов по СБП. Как оказалось, сбои были вызваны DDoS-атакой на инфраструктуру Национальной системы платежных карт (НСПК, оператор платежной системы «Мир»).

Злоумышленникам удалось лишь временно дестабилизировать ряд сервисов. К полудню СБП уже работал в штатном режиме, MirAccept (аутентификация по протоколу 3D Secure) восстанавливался дольше.

Как выяснил «Ъ», это была ковровая DDoS: под удар попал весь блок IP-адресов НСПК. Атакующие стремились вывести из строя пограничные сетевые устройства, создав перегрузки, однако всерьез нарушить связность сетей мишени им так и не удалось.

Проблемы с доступом к сайтам и сервисам также испытали клиенты некоторых крупных банков и телеком-провайдеров. Абоненты МТС, «Ростелекома» и Yota и сегодня жалуются на сбои в работе ресурсов; благодаря хорошо налаженной защите ущерб от таких инцидентов ничтожен.

По данным StormWall, для защиты от DDoS-атак 93,5% российских компаний списка Топ-500 используют отечественные профессиональные решения. Больше прочих на российский анти-DDoS полагаются госструктуры, финансовые институты и операторы связи.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Группа NGC4141 взломала защищённое веб-приложение федерального ведомства

Эксперты центра исследования киберугроз Solar 4RAYS (группа компаний «Солар») выявили неизвестную ранее группировку, которая атаковала веб-приложение одного из федеральных ведомств. Хакеры использовали публичные инструменты, проникли в инфраструктуру ведомства и смогли выполнять команды прямо в операционной системе сервера.

В ходе расследования специалисты выяснили, что злоумышленники применяли имена внутренних серверов жертвы для атак и на другие госструктуры — то есть пытались использовать полученные данные повторно.

В итоге специалисты Solar 4RAYS провели расследование и вывели хакеров из инфраструктуры.

Новая группа из Восточной Азии

По данным Solar 4RAYS, атака с высокой вероятностью была проведена группировкой из Восточной Азии. На это указывает география обращений к серверу и время начала атак — около 4 утра по Москве, что совпадает с началом рабочего дня в регионе.

Исследователи дали группе название NGC4141 (от new generic cluster — новая вредоносная активность, не связанная с известными APT-группами).

Как проходила атака

Согласно данным расследования, атака началась в декабре 2024 года. Несколько дней подряд злоумышленники активно сканировали сайт на наличие уязвимостей — нагрузка доходила до тысяч запросов в час. Спустя время они перешли к ручному анализу системы и нашли способ проникновения.

Хакеры воспользовались недокументированными функциями публичной платформы для работы с API, через которые внедрили на сервер веб-шеллы — вредоносные скрипты, позволяющие управлять системой через веб-интерфейс. После этого им удалось установить вредоносную программу и получить доступ к внутренней сети организации.

Примечательно, что веб-приложение работало на кастомном движке, написанном с нуля или сильно модифицированном. Для таких решений нет готовых эксплойтов в открытом доступе, поэтому взлом подобного ресурса требует высокой квалификации. При этом сервер был защищён антивирусом и WAF (системой защиты от веб-атак), но это не остановило хакеров — лишь замедлило их действия и позволило вовремя зафиксировать аномалии.

Опасность атак на кастомные веб-приложения

Параллельно злоумышленники пытались использовать полученные данные — в частности, имена внутренних серверов — для атак на другие госструктуры. Это говорит о возможном обмене информацией между схожими группировками и о намерении атаковать госсектор в целом.

Руководитель группы расследования инцидентов Solar 4RAYS Иван Сюхин подчеркнул, что подобные атаки показывают уязвимость даже хорошо защищённых систем:

«Атаки на кастомные веб-приложения для проникновения во внутренние сети — недооценённая угроза. Средства автоматической защиты помогают, но не исключают риск. Мы рекомендуем владельцам таких ресурсов проводить аудит кода или даже пентест, чтобы заранее выявить слабые места и повысить устойчивость к кибератакам».

Инцидент стал ещё одним подтверждением того, что даже самые защищённые системы уязвимы без регулярного ручного анализа и участия квалифицированных экспертов.

Специалисты Solar 4RAYS в своем блоге опубликовали индикаторы компрометации группировки — это поможет российским компаниям обнаруживать и блокировать вредоносную активность злоумышленников в своих корпоративных сетях.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru