IT army of Ukraine атаковала сайты российских страховщиков

Рустам АХМЕТГАРЕЕВ

С конца прошлой недели сайты российских страховых компаний стали целью крупномасштабных хакерских DDoS-атак (вызывающих лавинообразный рост запросов к онлайн-ресурсу, препятствующих доступу реальных пользователей).
 
Как рассказал АСН один из источников на страховом рынке, за атаками может стоять хакерская группировка IT army of Ukraine.

АСН обнаружило ряд одноимённых telegram-каналов. 

В одном из них есть опубликованный 27 мая пост на украинском языке. «Сегодня к общему списку целей прилагаются ресурсы страховых компаний России», — указано в посте. Далее идёт список более 30-ти российских страховых компаний (составленный в хаотичном порядке, включающий как часть крупных, так и относительно средних и небольших страховых компаний). Помимо ссылок на основные сайты, опубликованы и ссылки для входа в личные кабинеты для покупки ОСАГО. Данный пост набрал 63 тыс. просмотров на 30 мая. 


Например, в списке есть сайты «Росгосстраха», ВСК, «Ингосстраха», «Югории», СК «Югория Жизнь», «Абсолют Страхования», «Зетта Страхования», «Астро-Волги», «Тинькофф Страхования», «Ренессанс Страхования», «Капитал Life», СК «Тит», «Совкомбанк Страхования», «Проминстраха» (последний уже давно находится на этапе ухода с рынка), «УралСиб Страхования», СК «МАКС-М», СК «Русский стандарт страхование» и др.

Есть в списке и сайт «Страховой бизнес группы» — он не открывался даже в момент написания статьи, 30 мая.

При этом в списке «целей для атак» нет части крупнейших страховщиков.

Портал vc.ru в апреле сообщал, что «ИТ-армия Украины» была «задумана» министром цифровой трансформации Украины Михаилом Федоровым. «Тысячи хакеров-любителей, сформированная украинским правительством... Данные действия — ответ на специальную военную операцию, проводимой Россией на территории Украины», — так vc.ru охарактеризовал деятельность хакеров.

65 миллионов запросов с 38 тысяч адресов

АСН опросило страховщиков о том, как они справились с DDoS-атаками.

«Согласие», «АльфаСтрахование» и «Капитал Life» воздержались от комментариев. 

Агентский telegram-канал true сообщал при этом 27 мая, что «сервера b2b soglasie "легли"», об уведомлении «Альфой» («АльфаСтрахованием — АСН) партнёров, что идёт «массовая DDoS-атака на все страховые компании РФ» и возможных проблемах при оформлении полисов. Также канал указывал на проблемы с функционированием сайта СК «Гайде».

Часть опрошенных страховщиков не дала АСН ответы на момент публикации.

Наиболее полное описание атаки АСН дали в «Астро-Волге». Так, была совершена DDoS-атака на основной сайт и портал для оформления Е-OСАГО от «Астро-Волги», частично был задет портал для агентов.

«В период восстановления сервисы работали с перебоями, но полного отключения старались избежать. На урегулирование убытков и другие процессы в компании это не повлияло», — сообщили в компании.

Атака началась 27 мая в 9:30 по мск. «На один из наших номеров позвонили и сказали, что на наш сайт произведена DDoS-атака и они могут решить эту проблему», — сообщили в «Астро-Волге». Но IT-службы страховщика самостоятельно решили задачу, к 13:30 сервисы работали полностью. 

«Почти сразу было принято решение использовать систему DDoS-Guard. Нам удалось подключить и настроить данную систему в сжатые сроки. Практически сразу после включения системы трафик очистился, работа сайтов восстановилась в полной мере. Приятным бонусом оказалось частичное ускорение работы сайтов», — перечислили в «Астро-Волге».

Пиком атаки было 28 мая, когда количество запросов в секунду превысило 10 тысяч. Общее количество запросов — с начала установки системы и до конца атаки — составило более 65 млн и нагрузка создавалась с более чем 38 тыс. адресов.

Судя по графикам атаки продолжались и на утро понедельника, «мусорных» запросов фиксировалось порядка 100 млн в сутки. Но атаки уже не так интенсивны, описали ситуацию в «Астро-Волге».
 

Атаки такого масштаба проводят глобальные структуры

«Росгосстрах» на протяжении рабочего дня 27 мая фиксировал попытки DDoS-атак на инфраструктуру компании. Благодаря заранее проведённым работам на системах безопасности внешнего периметра, в том числе исполнения рекомендаций регуляторов, каких-либо сбоев или замедлений в работе сайта и сервисов не было. Все внешние информационные ресурсы работали в штатном режиме, сообщила пресс-служба «Росгосстраха».

На сайт ВСК и интернет-магазин компании совершались DDoS-атаки с 10 утра 27 мая до 12 дня 28 мая. Благодаря оперативным действиям специалистов, DDoS-атаки никак не отразились на продажах и урегулированиях страховых случаев, отметили в ВСК.

В «Ренессанс Страховании» также подтвердили DDoS-атаки от 27 мая. «Но мы смогли достаточно оперативно решить эту проблему без каких-либо последствий для нашего бизнеса», — сообщила пресс-служба страховщика.

Директор по информационным технологиям СК «МАКС» Александр Горяинов рассказал АСН, что 27 мая на ресурсы компании наблюдалась «широкомасштабная DDoS-атака, скоординированная, управляемая и проводимая с IP-адресов, находящихся в различных странах и даже континентах». 

Сайт и отдельные сервисы компании были кратковременно недоступны, однако на работоспособности основных бизнес-процессов «МАКСа», включая продажи, это не сказалось. 

«Очевидно, что такие скоординированные и масштабные атаки проводят не одиночные хакеры, а соответствующие глобальные структуры», — обратил внимание Александр Горяинов.

Негативные последствия атак удалось преодолеть благодаря совместной работе «МАКСа» и интернет-провайдеров, сообщили представители «МАКСа».

«В час ночи 27 мая действительна началась DDoS-атака», — рассказал заместитель гендиректора «РЕСО-Гарантии» Игорь Иванов. Специалисты Управления информационных технологий «РЕСО-Гарантии» за два часа перенастроили защиту, а также временно ограничили доступ к сервисам страховщика с зарубежных IP-адресов, доступ с российских адресов не ограничивался. Атака продолжается, но пользователи «РЕСО-Гарантии» её не замечают, подытожил Игорь Иванов.

Атака началась 27 мая и продолжается до сих пор, подтвердили АСН в «Югории». «К сожалению, мы, и многие другие страховщики, находимся в списке публичных целей», — отметили в «Югории», подтвердив, что связывают атаки с постом в указанном выше telegram-канале. «На деятельности компании это не сказалось — наблюдалась кратковременная недоступность отдельных некритичных внешних сервисов», — заявили в «Югории».

«Югория» использует инструменты защиты от атак всех типов (включая Layer 3 и Layer 7 по уровням сетевой модели OSI). «Инструментарий для защиты от атак раскрывать не принято, однако отметим, что выбранное решение считаем эффективным в сочетании с профессиональной работой команды собственных инженеров», — сообщила пресс-служба «Югории».

По теме:
«Е-Гарант» оккупирован хакерами (покупка ОСАГО через них грозит массовыми отказами в выплатах при ДТП)
Хакеры из Anonymous заявили о взломе данных ЦБ, регулятор опроверг данную информацию