NSPK sobreviveu ao maior ataque cibernético – o SBP falhou por várias horas

Na véspera, 20 de junho, ocorreu um ataque cibernético ao Sistema Nacional de Cartões de Pagamento (NSCP) – o maior nas estruturas financeiras da Federação Russa nos últimos anos, dizem os especialistas. Durante várias horas, alguns pagamentos e transferências online através do SBP não foram realizados ou não foram realizados na primeira vez. O incidente não causou danos graves, mas serão necessárias medidas de segurança adicionais para evitar tais ataques cibernéticos no futuro.

Fonte da imagem: WELC0MEИ0/pixabay.com

Falhas na operação de alguns serviços NSPK começaram a aparecer em 20 de junho, por volta das 10h, horário de Moscou. Alguns pagamentos através de cartões bancários e SBP não foram concretizados – este último funcionava normalmente à hora do almoço e o restabelecimento do serviço 3D Secure de confirmação de pagamentos através da Internet demorou mais. A NSPK confirmou o incidente e esclareceu que se tratava de um ataque DDoS à infra-estrutura – os especialistas da plataforma estavam preparados para isso, pelo que o seu efeito acabou por ser de “curto prazo” e apenas alguns serviços foram afectados. Um dia antes, o mesmo grupo de cibercriminosos atacou vários grandes bancos russos, mas isso não teve muito efeito – talvez tenha sido um ensaio, sugeriram fontes do Kommersant.

Para atacar o NSPK, os invasores optaram pelo método de ataque carpete, no qual o ataque é realizado em todos os recursos da vítima simultaneamente – por causa disso, todos os equipamentos de rede de ponta ficam sobrecarregados e a conectividade das redes é interrompida. É mais difícil se proteger contra esse tipo de ataque, pois o redirecionamento usual de uma solicitação por uma rota de rede inexistente nesses casos resulta na indisponibilidade total do serviço. Há uma opinião de que a reação dos especialistas do NSPK foi incorreta – eles deveriam ter lançado servidores de backup, mas isso não aconteceu. Talvez o problema seja que os organizadores do ataque estavam cientes das peculiaridades do sistema de pagamento e sabiam contornar os sistemas de monitoramento, por isso a capacidade de reserva não estava conectada.

A última vez que um ataque em grande escala aos serviços financeiros russos foi registado foi em setembro de 2021 – a sua vítima foi o fornecedor Orange Business Services, que processou uma parte significativa do tráfego de cartões bancários. Com isso, os pagamentos por cartão e SBP ficaram intermitentes por três horas. Então o ataque, segundo especialistas, foi “muito mais poderoso” – afetou não apenas pagamentos pela Internet e SBP, mas também caixas eletrônicos e lojas. Desta vez, o NSPK acabou sendo apenas o alvo mais visível – o incidente também afetou outras organizações russas, incluindo bancos, bem como Rostelecom e MTS, mas os atacantes não conseguiram causar danos significativos. No entanto, o ataque foi bem-sucedido e as razões para tal terão de ser estabelecidas para evitar que tais incidentes aconteçam no futuro.