DDoS: от мошенничества до информационной войны

В последние полгода мишенью хакеров регулярно становятся украинские и российские госорганизации. По мнению экспертов, сегодня DDoS все чаще используется как инструмент политической борьбы.

22 августа министр иностранных дел Украины Павел Климкин сообщил в своем твиттере, что официальный сайт МИД страны подвергся DDoS-атаке. Это далеко не первый случай за последние полгода, когда мишенью хакеров становятся украинские и российские госорганизации. По мнению экспертов, DDoS в последнее время все чаще используется как политический инструмент. theRunet решил разобраться, кто, как и зачем организует DDoS-атаки.

Что такое DDoS-атака

Для осуществления DoS-атаки необходимо выявить конечный ресурс сервиса и потребить его, тем самым лишив возможности обычных пользователей обслуживаться этой системой. Если же атака распределена, и ее невозможность легко заблокировать, — это DDoS. То есть, DoS-атака, совершенная одновременно с большого числа компьютеров, называется DDoS-аткой.

Основатель Qrator Labs Александр Лямин отмечает, что в обществе существует путаница как с определением DDoS-атак, так и с оценкой их мощности. «Журналисты будут говорить про DDoS в гигабитах, сетевые инженеры будут говорить про DDoS в мегапакетах, веб-программисты будут говорить в килозапросах. Это как семеро слепых и один слон. Каждый трогает этого слона. Кто-то ухо, кто-то хобот, и каждый описывает по-своему, потому что видит только какую-то его часть», — добавляет Александр.

Кто организует DDoS-атаки

Эксперты отмечают, что если раньше DDoS-атаки совершали хакеры, обладающие определенными навыками для этого, то сейчас это может сделать практически любой.

Main_1461766_775326965816544_2005331376_n
Александр Лямин
Основатель Qrator Labs

«То, что мы сейчас наблюдаем, это некая комьюнитизация DoS-атак. Дело в том, что за последние годы в публичном доступе появились исходные коды несколько десятков различного рода троянов. То, что называется ботнет.ру, которые можно взять и, не обладая особыми познаниями, соорудить свой ботнет».

С этим согласен и основатель Group-IB Илья Сачков. «На мой взгляд, это делают очень странные люди. Низшая каста хакеров. Люди 2–3 недели почитали какие-то статьи, поняли, как это делается. Это действительно очень просто», — говорит он.

Эксперты видят два следствия этой ситуации. По словам Александра, число ботнетов увеличивается, но из-за конкуренции их размеры и эффективность уменьшаются.

«Между ботоводами уже начинают возникать войны. Часто коллеги наши с Group IB извлекают зараженный хост и видят в операционной системе целый зоопарк разных троянов. Они там между собой воюют, друг друга блокируют, выносят, ботнет друг у друга угоняют. Из-за этой конкуренции количество ботнетов-милионников сокращается», — говорит Александр.

Илья отмечает, что в связи с простотой процесса организации DDoS-атак ими занимаются неквалифицированные люди, которых общество считает обычными хулиганами. «Общество еще не называет таких людей преступниками. Это плохо образованные люди. Они пишут, говорят с ошибками», — говорит Илья.

Но есть и гораздо более квалифицированные организаторы DDoS-атак, способные нарушить работу сервиса хорошо защищенной системы. «Либо это тривиальная атака, либо команда профессионалов, которая работает 24 на семь в течение двух-трех недель, явно посменно, постоянно меняя стратегию атаки, пытается нанести максимальный ущерб, явно работает на результат и очень хорошо оплачиваемая», — описывает Александр.

В марте 2014 года в течение нескольких часов были недоступны ресурсы крупнейших банков («Сбербанка», «Газпромбанка», «Альфабанка», ВТБ24), госведомств (Роскомнадзора, Центробанка, Администрации президента), государственных и проправительственных СМИ («Первого канала», Russia Today, LifeNews, «Комсомольской правды»). Илья считает, что нарушить их работу могла только очень мощная атака

«Было понятно, что у злоумышленников есть большой бюджет. Это очень крупные организации, которые на защиту потратили миллионы долларов, но рухнули сразу же. Они защищались не в Qrator Labs, я не знаю, что было бы, если бы атаковали их клиентов. Но если есть большой бюджет, то любая атака может пройти успешно», — рассказал основатель Group IB.

Сколько стоит DDoS-атака?

Расценки на проведение DDoS-атак можно посмотреть на форуме «Античат». Как отмечает Александр, за последние два-три года их минимальная стоимость упала со 100 до 50 долларов.

«Естественно можно сказать, что за 50 долларов скорее всего вы получите школьника. О серьезной атаке там речь не идет. Если же говорить о политике, о сложных ресурсах и высоких рисках, то на этом, я думаю, зарабатывают десятки тысяч долларов», — рассказал основатель Qrator Labs.

Можно ли вычислить организаторов DoS-атаки?

Можно, на чаще всего это сложно и дорого. Для этого необходимы как большие технические ресурсы, так и взаимодействие с операторами связи, правоохранительными органами.

«Достаточно важно бывает получить некоторую информацию от оператора связи. Если это делается стандартными каналами, через запрос Управления „К“ (МВД России — прим. ред.), получение уведомления и все то, что называется процессуальными сроками, то про раскрытие можно сразу забыть. Потому что счет идет на часы», — поясняет Александр.

Qrator Labs не проводит расследования, компания только предотвращает атаки. Поиском их организаторов занимаются «Лаборатория Касперского» и Group IB. Илья Сачков говорит, что в его компанию ежедневно обращаются по поводу расследований атак, но только единицы могут себе это позволить.

Main_1383854_633073100113035_1945054841437154049_n
Илья Сачков
Group-IB

«Расследование DDoS атаки должно иметь смысл. Если она приносит ущерб три миллиона рублей, просить за расследование 30 миллионов бессмысленно. К тому же, весь процесс займет два-три года. Идентифицировать человека — это один месяц, но довести до суда и получить приговор — два-три года. Но если мы подписываем договор, то гарантируем результат на 80–90 процентов»

Чаще всего Group-IB проводит расследования атак на крупные организации. Хотя к компании регулрно обращаются СМИ, которые пострадали от DDoS, большинство не могут позволить себе проведение расследования. Также Илья считает, что многим СМИ и не нужно знать, кто их атаковал, поскольку они превращают DDoS в средство продвижения самих себя.

Что такое хактивизм?

Хактивизм — это использование компьютерных сетей для продвижения политических идей. Самый популярный инструмент хактивистов — DdoS-атаки.

Например, группировка «КиберБеркут» в марте 2014 года взяла на себя ответственность за атаку на сайт ЦИК Украины и Единую информационно-аналитическая систему «Выборы», порталы МВД и Генпрокуратуры Украины, сайты телеканалов «Интер» и «1+1», новостные порталы УНИАН и «Лигабизнесинформ». Противоборствующая «КиберБеркуту» группировка «КиберСотня», в свою очередь, в начале марта провела атаку на сайт «Российской газеты».

Как DDoS-атаки используются в целях вымогательства?

Зачастую DDoS-атаки устраиваются для того, чтобы потребовать деньги за их прекращение. Злоумышленники начинают DDoS-ить сайт, а затем пишут его владельцам с анонимных адресов, что готовы остановить атаку взамен на определенную сумму.

В конце марта такую ситуацию могли наблюдать все пользователи Twitter — некий Pump Water Reboot потребовал по тысяче долларов с основателя банка ТКС Олега Тинькова и издателя «Хабрахабра» Дениса Крючкова.

Сайт и онлайн-банк ТКС были недоступны почти сутки, несмотря на то, что над его защитой работал Qrator Labs. «Хабрахабр» тоже был заблокирован несколько часов. Администрации обоих ресурсов утверждает, что они не пошли на сделку с Pump Water Reboot. Если это так, то хакеры все же обеспечили себе как минимум PR-кампанию для привлечения заказчиков DDoS-атак.

В анонимном интервью TJournal Pump Water Reboot сообщил, что стоимость атаки начинается с 70 долларов в сутки и варьируется в зависимости от устойчивости ресурса.

По словам Ильи Сачкова, DDoS-атаки с целью вымогательства являются самыми простыми для расследований, поскольку их организаторы выходят на контакт. «Для правоохранительных органов это подарки», — отметил Илья.

DDoS в конкурентной борьбе

Сегодня скорость распространения информации определяет направление, темпы и другие параметры развития общества, организации, политической партии. Эффективная блокировка этой информации позволяет на них повлиять. Поэтому DDoS достаточно часто используется в конкурентной борьбе.

«Мелкий и средний бизнес регулярно получает DDoS, проведя супер-агрессивную кампанию в Яндекс.Директ. Это сигнал: «Коллеги, либо уходите из Директа, либо мы вас дедосим», — рассказывает Александр.

Самая известная в России DDoS-атака была направлена на сайт «Аэрофлота». Год назад организатор этой атаки, владелец компании Chronopay Павел Врублевский, был приговорен к 2,5 годам колонии. Он заказал DDoS на информационные ресурсы компании Assist, которая реализовывала эквайринг для «Аэрофлота». По версии следствия, Врублевский сделал это для того, чтобы «Аэрофлот» расторг контракт с Assist и перешел на услуги Chronopay.

DDoS для маскировки других преступных действий

Под прикрытием DDoS-атак зачастую происходит кража персональных данных и финансов.

«Если хотите парализовать работу безопасников IT-отдела, устройте им DDoS. Пока они с ним разбираются, можно спокойно провести платежи и скрыть средства где-нибудь в направлении какого-нибудь оффшора. Регулярно применяется», — поясняет Александр.

Атаки на банки чаще всего производятся для того, чтобы замаскировать процесс кражи данных или денег. Пока интернет-банкинг будет недоступен, злоумышленники уже снимут со счетов деньги, а клиенты и банк обнаружат это слишком поздно. По словам Ильи, финансовые организации научились защищать себя от таких ситуаций. Поэтому в моменты DDoS-атак большинство банков приостанавливают платежи, чтобы предотвратить кражу средств. В связи с этим у хакеров пропал смысл проводить атаки на банки.

Как отличить DDoS-атаку от избыточного наплыва настоящих пользователей

В отличие от обычных посетителей, роботы не приносят веб-сайту прибыль. То есть, если у ресурса взлет посещаемости, проблема с нагрузками, но по итогам дня он заработал на рекламе или продажах ноль — это точно DDoS-атака.

Можно ли предотвратить мощную DDoS-атаку

Существует несколько сервисов, которые позволяют «отбить» DDoS-атаку. Один из самых известных — это Cloudflare. Его конкурентное преимущество в наличии бесплатной подписки. Но она подойдет скорее небольшим или частным сайтам.

Для этой же категории также предлагается пакет «Pro» за 20 долларов в месяц. С его помощью можно эффективнее защитить на только браузерную, но и мобильную версию сайта. Для крупных ресурсов предлагается пакет за 200 долларов в месяц или за 5 тысяч долларов — последний включает в себя круглосуточную техническую поддержку.

Российский аналог Cloudflare — сервис Qrator. У него нет бесплатной опции, и стартовая цена услуг выше, чем у Cloudflare. Абонентская плата за месяц для частных клиентов стоит 4,9 тысяч рублей. Для малого бизнеса — 18 или 26 тысяч в зависимости от мощности сайта. Для крупного бизнеса — от 46 до 135 тысяч. Qrator предоставляет гарантии: администрация сервиса обещает, что если сайт его клиента будет недоступен более 3–5 процентов времени в месяц, компания вернет всю абонентскую плату.

«Мы работаем с клиентским трафиком постоянно 24 на 7. Это позволяет нам постоянно проводить дообучение наших алгоритмов фильтрации. В итоге, когда случается DDoS-атака, она фильтруется полностью автоматически. Мы считаем, что клиент о факте DDoS-атаки должен узнавать из утреннего отчета. Ни в коем случае не наблюдать ухудшение производительности, какие-то проблемы. Его сайт должен быть доступен и точка. Вот к чему мы в конечном итоге стремимся. И у нас это достаточно часто получается», — объясняет Александр.

Он рассказывает, что раньше было сложнее убедить владельцев сайтов в том, что от DDoS-атак надо защищаться заранее, а не когда они уже произошли. Практически все клиенты обращались в Qrator Labs только тогда, когда их уже атаковали. Потом средний и крупный бизнес стал подключаться к системе превентивно. Сейчас, по словам Александра, к ним присоединяется и малый бизнес.

«У них, допустим, флористика, начинается сезон, мартовские праздники, 14-е февраля, и тогда они подключаются заблаговременно. В мелком секторе таких клиентов приблизительно 10%. В крупном у нас таких приблизительно каждый третий. Тем не менее, даже самые крупные компании часто приходят под DDoS-атакой, с серьезными проблемами, — рассказывает основатель Qrator Labs. — Мы не скорая помощь, я хочу сказать. Мы скорее физиотерапевт. По крайней мере, мы себя так мним, задумываем. Мы можем оказать первую медицинскую, если человек умирает, но изначально мы сконфигурированы под другое».

Александр добавляет, что сейчас появляется новая категория клиентов, которые приходят за консультациями еще при построении своего интернет-бизнеса и спрашивают, как правильно настроить работу сервиса, чтобы он выдерживал любые нагрузки. Один из главных советов, который Qrator Labs дает в таких случаях, — необходимо разместить все сервера (DNS-сервера, почтовые сервера и различные приложения сервиса) в разных дата-центрах. Для разработчиков удобнее поместить все в одном месте, но такой подход делает сервис уязвимым.

На кого чаще всего направлены DDoS-атаки

Если раньше основными жертвами DDoS-атак были банки, то сейчас, особенно в 2014 году, целью DDoS чаще всего становится не мошенничество, а политическое влияние.

«Если хакер за DDoS-атаку получает 50–15 тысяч долларов в день, то, воруя у клиентов в интернет-банке, он может „заработать“ несколько миллионов долларов. Заказные атаки происходят все реже. Это не значит, что DDoS атак меньше, просто они переходят в другую плоскость. Атаки становятся больше политическими, информационного характера», — рассказывает Илья.

В связи с этим увеличилось количество атак на СМИ. Крупнейшие вспышки DDoS-атак Qrator Labs наблюдал во время Олимпиады в Сочи и политических событий на Украине.

Также часто от DDoS страдают электронные торговые площадки. По словам Александра, в этом году больше всего новых клиентов сервиса пришли именно из этих двух сфер: электронная коммерция и медиа. Услугами Qrator Labs пользуются как государственные, так и независимые СМИ, в том числе и украинские.

Какое наказание законодательно предусмотрено за DDoS

В 2011 году президент Медведев подписал изменения в 28 главе Уголовного кодекса в 272, 273, 274 статьях. Ранее в 272 статье был квалифицирующий признак «Нарушение работы ЭВМ, системы ЭВМ и сети». В результате поправок эта строка исчезла из УК, после чего DDoS-атаку стало значительно сложнее квалифицировать.

«Летом того года, когда были внесены изменения, Дмитрий Анатольевич встречался с интернетчиками — директорами „Ведомостей“, „Коммерсанта“. Они жаловались, что их постоянно атакуют. Он сказал, что разберется, ужесточит, а подписал эти вот изменения, после которых человека даже под стражей нельзя держать», — говорит Илья.

По его словам, нынешнее законодательство позволяет любому грамотному юристу доказать, что организатор DDoS-атаки невиновен. Например, DDoS не всего подходит под 273 статью «Создание и распространение вредоносного программного обеспечения», поскольку многие организаторы атак покупают сеть зараженных машин, но сами ничего не устанавливают и не создают. Group-IB считает, что уголовный кодекс необходимо изменить так, чтобы потенциальные преступники боялись наказания за DDoS.