День выборов в Госдуму 4 декабря 2011 года оказался тяжелым для системных администраторов многих либеральных интернет-ресурсов. Из-за DDoS-атак оказались недоступны сайты радиостанции «Эхо Москвы», журнала The New Times, организации по мониторингу выборов «Голос», журнала «Большой город» и Slon.Ru. Под удар попал в том числе наш сайт Agentura.Ru.
«Атака началась где-то в 7.30 утра в воскресенье. Отреагировали мы ближе к 9 утра, - рассказывает Вадим Петров, технический директор Slon.ru. - Первое время пытались решить проблему своими силами и обращались за помощью к хостинг-провайдеру, чтобы отрезать иностранные IP-адреса. На короткое время нам удалось сделать проект доступным, но затем объем трафика возрос и что-то изменилось в поведении ботов, сервер вновь упал. Где-то час шло согласование с qrator, затем мы переключились на их сервера».
Согласно отчету компании Highload Lab, владельца сервиса qrator, куда были вынуждены временно перенести свои серверы сначала slon.ru, а потом «Большой город», телеканал «Дождь», «Эхо Москвы» и проект «Голоса»kartanarusheniy.ru, активная фаза атаки продлилась до вечера 4 декабря. Только один Slon.ru бомбили 200-250 тыс. ботов, в основном из Индии и Пакистана, то есть кто-то использовал ботнет - сеть из зараженных компьютеров, получивших команду слать множественные фальшивые запросы на сайты-жертвы, что приводит к падению сайтов (Distributed Denial of Service Attack - DDoS).
На следующий день активная фаза большинства атак завершилась, однако часть (например, DDoS-атака на «Эхо Москвы») перешла в стадию ожидания: около сотни ботов пытались отправлять «тяжёлые» запросы на сервер, чтобы обнаружить момент, когда сайт начнёт «сдавать» и, например, выйдет из-под защиты.
Напряжение не спадало еще два месяца. Вадим Петров вспоминает: «Закончилась DDoS-атака примерно в конце января. Входящий трафик падал постепенно с 200 мегабит до где-то 20-25 перед окончанием атаки (нормальный для нас входящий трафик 1-5 мегабит)».
Казалось, подтвердились самые худшие опасения, что Кремль может использовать хакерское сообщество для организации атак на сайты независимых СМИ и оппозиции, а также веб-ресурсы тех стран, которые перешли в разряд недружественных, с точки зрения Москвы.
Опасения эти представлялись вполне обоснованными. Хакеры, выросшие на постсоветском пространстве, заслужили репутацию едва ли не самых активных и опасных киберпреступников в мире. В то же время российские технические вузы, основные поставщики программистских кадров и хакеров в том числе, стали базой «патриотически» настроенной молодежи. Многие будущие российские инженеры были возмущены переменами 1990-х, которые принесли в том числе и сокращение бюджетов военно-промышленного комплекса - основного кормильца технической интеллигенции Советского Союза.
Кроме того, стоит помнить, что в годы холодной войны советские спецслужбы соперничали практически на равных с двумя самими мощными электронными разведками мира - Агентством национальной безопасности США (АНБ) и Штаб-квартирой правительственных коммуникаций Великобритании (GCHQ).
Сочетание этих факторов выглядело достаточно тревожным, предупреждали аналитики, приводя пример Китая. Известный эксперт по кибербезопасности Микко Хиппонен уверен: «Хакеры на постсоветском пространстве достаточно патриотично настроены. Это еще более очевидно в случае с китайскими патриотическими хакерами, которые рады атаковать Запад, если считают, что это поможет их стране».
Мобилизация
В феврале 2002 года студенты Томского университета атаковали сайт «Кавказ-Центр», поддерживающий боевиков на Северном Кавказе, и местное управление ФСБ не нашло состава преступления в их действиях, назвав атаку «выражением гражданской позиции, которая достойна уважения».
В апреле 2007 года нападению впервые подверглись сайты зарубежных правительств. Эстония разозлила Кремль решением убрать памятник Воину-освободителю из центра Таллина. И 27 апреля российские хакеры предприняли серию атак на сайты эстонского правительства, парламента, банков, министерств, газет и телерадиокомпаний.
Эстонский министр иностранных дел Урмас Паэт обвинил в этом Кремль. Россия отрицала свою причастность к атакам, в результате Эстония запросила и получила помощь НАТО в противодействии этой новой форме агрессии. Эстонии не удалось представить доказательства участия российских властей. Однако в марте 2009 года комиссар прокремлевского движения «Наши» Константин Голоскоков в интервью The Financial Times фактически взял на себя ответственность за атаку, заявив: «Я бы не называл это кибератакой - это была киберзащита... Мы преподали эстонскому режиму урок».
За Эстонией последовала Литва. В июне 2008 года эта бывшая советская республика вызвала раздражение Кремля, когда местный парламент проголосовал за запрет публичного использования государственной символики нацистской Германии и Советского Союза. Позиция Литвы немедленно навлекла на нее массированный киберудар: 30 июня Служба регулирования связи Литвы сообщила, что около 300 литовских сайтов подверглись хакерской атаке. На этих сайтах появились изображения советских красных флагов и антилитовские лозунги.
В августе 2008-го военный конфликт между Грузией и Южной Осетией вызвал кибератаки на грузинскую сетевую инфраструктуру.
Одновременно появились несколько сообществ, которые должны были мобилизовать пользователей на борьбу с сайтами, поддерживающими боевиков на Северном Кавказе: «Гражданский антитеррор» (www.anticenter.org) и Internet Underground Community vs. Terrorism [Сообщество интернет-подполья против терроризма, www.peace4peace.com). В качестве методов борьбы предлагались DoS-атаки. В 2007 году мы обнаружили, что Национальный антитеррористический комитет (НАК), руководителем которого является глава ФСБ, проявляет интерес к патриотическим хакерам «Гражданского антитеррора» и ищет контакты с ними, считая их потенциальными союзниками.
Тогда же, с 2007 года, в Рунете стала заметна фигура «хакера Хелла» как главного специалиста по взлому либералов. Вокруг него в Livejournal сформировалась группа сторонников, которые называли себя то «бригадой Хелла», то «Партией Хелла», а потом и вовсе «Бригадой ФСБ по удушению демократии» (http://fsb-brigada.livejournal.com/). Пока большинство участников сообщества занимались троллингом либеральных форумов, Хелл взламывал почтовые аккаунты оппозиционеров: на сегодняшний день самой громкой его акцией стал взлом почты борца с коррупцией Алексея Навального и его жены в октябре 2011 года. Среди его жертв - блогер Андрей Мальгин, разоблачающий коррумпированных российских чиновников, и экс-депутат Виктор Алкснис, который вел кампанию против незаконной продажи государственных земель на Рублевке.
В январе 2012 года из перехваченной почты Кристины Потупчик, пресс-секретаря кремлевского движения «Наши», стало известно, что они планировали проведение DDoS-атаки на сайт газеты «Коммерсант».
Технологии
Однако все время оставался вопрос, участвуют ли в этой борьбе профессиональные хакеры или это деятельность мобилизованных Кремлем активистов.
Руководитель сайта «Антикомпромат.ру» и президент Информационно-аналитического центра «Панорама» Владимир Прибыловский несколько лет назад стал жертвой хакера Хелла, который не ограничился взломом его ЖЖ, взломав вдобавок facebook дочери Прибыловского. В столичном кафе на Покровке Прибыловский, бывший диссидент, переводчик Animal Firm Оруэлла и лидер партии с экзотическим названием «Субтропическая Россия», рассказал нам, что иллюзий в отношении хакерской квалификации Хелла у него нет: «Нет, это не хакеры. Хелл не умеет создавать программы, он занимается социальной инженерией, задает вопросы, на которые лохи вроде меня отвечают. Например, приходит сообщение от Google: "на вас жалоба, надо срочно сменить пароль", а там одна буковка O заменена кириллицей. Ну и таким образом ты даешь свой пароль, это классический фишинг. А потом с помощью пароля все ломают через почту. У меня был пароль (и в почте, и в ЖЖ, и везде) номер моего российского паспорта. Причем, когда мне первый раз ломали почту еще в 2007 году, я поменял пароль. Ну, я просто заменил номер русского паспорта на номер загранпаспорта, через год он об этом догадался и взломал. А есть люди, которые 12345 до сих пор пишут».
С этим мнением согласны наши источники в хакерском сообществе: «Хелл - человек, умеющий плотно работать с архивами, документами (его основная профессия), искать и анализировать информацию. С технической точки зрения он не является хакером, и все его взломы строятся на угадывании ответов на контрольные вопросы на "старые" почтовые ящики, на аккаунты соцсетей».
Кроме того, такое впечатление, что и отношения между хакерами и спецслужбами пока складываются не слишком удачно для последних. Это подтверждает судьба «антитеррористических» сайтов.
По словам наших источников в хакерском сообществе, идея борьбы с сайтами боевиков не нашла отклика среди киберпреступников: «В криминально-хакерском сообществе, после того как стали пиарить эти антитеррор-сайты, а особенно это делал известный персонаж с ником SEVERA, его стали связывать с ФСБ, что не очень приветствовалось, особенно с учетом того, что он находился на закрытых "секретных" кардерских форумах, таких, например, как VN = VendorsName, куда просто так не попасть (речь идет о формумах для взломщиков кредитных карт - прим. авторов)».
Питерский хакер SEVERA (по некоторым данным, его настоящее имя Петр Левашов) - один из самых известных королей спама, занимает почетное место в базе данных SpamHaus, международной организации, которая занимается борьбой со спамом и фишингом. Стал широко популярен после того, как начал остроумно распространять фальшивые антивирусы для увеличения своего ботнета, который потом использовал для рассылки спама. В узких кругах известен с конца 1990-х годов, и масштабы его деятельности, а также невероятная везучесть в отношениях с правоохранительными органами вызвали подозрения у многих хакеров, что он сотрудничает с ФСБ. Попытки SEVERA рекламировать антитеррористические инициативы на закрытых форумах прочно связали его имя со спецслужбами и оттолкнули хакеров как от него самого, так и от участия в этих инициативах. В настоящий момент эти сайты - и «Гражданский антитеррор», и «Сообщество интернет-подполья против терроризма», закрылись.
Тем не менее, количество DDoS-атак по политическим целям продолжает нарастать. Правда, как выяснилось, хакерское сообщество если и участвует в этих атаках, то довольно странным образом.
DDoS-атаки как бизнес
Питерский хакер Андрей с ником Sporaw стал известен еще в начале 2000-х годов: тогда он давал комментарии BBC и газете «Ведомости» о хакерском сообществе в России. Sporaw очень критично относится к либеральной оппозиции и западным ценностям: на его личном сайте на красном фоне вывешен герб Советского Союза с подписью «Страна, которой нет».
В июле 2011 года на презентации TED в Эдинбурге Микко Хиппонен упомянул Sporaw как российского хакера, которого он идентифицировал по подписи в теле эксплойта (программы, использующей уязвимости в программном обеспечении). Эта подпись содержала номер автомобиля Sporaw - «мерседеса 600». Фотографию «мерседеса» с этим номерным знаком Микко нашел на странице Sporaw в livejournal.com. А в конце января 2012 года известный блогер Антон Носик обвинил Sporaw во взломе почты Алексея Навального (ответственность за взлом взял на себя хакер Хелл) и работе на кремлевских политтехнологов на том основании, что Sporaw на своей странице в livejournal.com доказывал аутентичность выложенной переписки.
В переписке с нами Sporaw категорически отрицал свою причастность к взлому почты Навального, тем не менее он подтвердил, что внимательно следит за политической борьбой в Рунете. Мы попросили его оценить DDoS-атаки 4 декабря:
- Как вы считаете, какие ресурсы должны были быть задействованы для атак?
- Есть два варианта. Первый - это люди, толпа людей. Причем в большинстве своем - совершенно не соображающих технически в компьютерах. Просто масса с единичными вкраплениями более-менее технических людей. Вообще их происхождение - это всякие «имиджборды» типа 4chan, 2ch[annel] и русский аналог 2ch.so. Их DDoS на уровне: скачайте вот этот скрипт и запустите у себя на всех компьютерах, где только сможете - дома, на работе». А там примитивные вещи вроде постоянной долбежки сайта ping'ами в цикле. (Так делали во время ситуации с Эстонией; так делали и в ситуации с Грузией.)
Чтобы понять «тупость» этого соообщества, достаточно посмотреть на используемый ими инструмент DDoS - LOIC (Low Orbit Ion Cannon). То есть люди имеют в своем распоряжении «удобную программу», позволяющую производить DoS (подчеркну: DoS, а не DDoS). DDoS же в данном случае достигается именно массивностью этой толпы.
Подобные атаки координируются через irc-каналы, форумы, имиджборды. Чем больше сообщество, тем «эффективнее» атака. Ее минус очевиден: большинство людей технически не подготовлены и производят DoS со своих IP.
- А второй вариант?
- Это DDoS с ботнетов, и его нужно разделить на два подвида. Первый - это простейшие ботнеты, обычно совсем небольшие, на 1000-5000 активных систем; второй - это профессиональные ботнеты, у которых количество ботов измеряется десятками и сотнями тысяч, в том числе так называемые ботнеты-миллионники.
За созданием ботнетов первого типа обычно стоит «школоло» - не сильно компетентные люди, использующие чужие технические решения для организации ботсетей. Таких людей много на различных ресурсах открытого типа, например, antichat, damagelab, xakep.ru, xakepy.ru. Через эти публичные объявления может обратитьcя за DDoS'ом кто угодно, хоть «нашисты», хоть «армия Навального».
Ботнеты второго типа обычно создаются не под DDoS, а DDoS может быть побочным приработком.
- Сколько людей могут в этом участвовать?
- У ботнетов первого типа это практически всегда один человек, владелец ботнета. Если не учитывать сопутствующую инфраструктуру с форумов - она живет сама по себе (автор malware, которая была украдена или куплена; сервис по антидетектированию у антивирусов; сервис по установкам, или сервис по эксплоитам, или биржи трафика и т.п.). В случае с ботнетами второго типа чаще это команда из двух-пяти человек (владелец/владельцы, отвечающие за монетизацию, организацию всей инфраструктуры и стратегическое управление; разработчики кода, разработчики баз и разработчики web-части, тестировщики, саппорт, админы - часто на аутсорсинге).
С этим во многом согласен Станислав Шевченко, 11 лет проработавший замдиректора департамента инноваций в «Лаборатории Касперского» (покинул компанию осенью 2011 года). Он считает, что ботнеты не создаются под политический заказ, они создаются для многократного использования, где DDoS-атака лишь один из вариантов.
- В принципе ботнет можно купить. Заходим в Интернет, пишем: хочу купить ботнет. И ботнеты продают - целиком, частями, сдают в аренду.
- Сколько этих ботнетов существует в Сети - миллионы?
- Мы говорим о серьезных ботнетах, которые по своей технической мощности могут влиять на серьезные интернет-ресурсы. То есть для того, чтобы положить, например, Gazeta.ru нужен ботнет из сотен тысяч компьютеров.
- И каково количество таких ботнетов?
- Это не миллионы. Может быть, десятки.
Хактивизм
На пике политической активности 2011-2012 годов самыми популярными оказались два метода кибератак - DDoS-атаки и взлом личной почты, их использовали как прокремлевские киберактивисты, так и оппозиция.
В ответ на взлом почты Навального и одного из руководителей «Голоса» Григория Мельконьянца была взломана почта пресс-секретаря движения «Наши» Кристины Потупчик. Если в день думских выборов 4 декабря 2011 года DDoS-атакам подверглись сайты либеральных СМИ, то в день президентских выборов 4 марта 2012 года, по данным «Лаборатории Касперского», были атакованы ресурсы Центральной избирательной комиссии webvybory2012.ru и cikrf.ru.
За взлом почты функционеров кремлевских молодежных движений в январе 2012 года взяло на себя ответственность движение Anonymous. Любопытно, что в России участники Anonymous использовали совершенно другую тактику, чем в других странах. Если на Западе Anonymous атакуют сайты ЦРУ и МВД Великобритании, то в России они не пытались ломать правительственные и ведомственные сайты, а ограничились взломом переписки.
В интервью нам российские активисты Anonymous попытались объяснить эту разницу в тактике.
- Цели атак действительно разные. Это обусловлено тем, что проблемы, стоящие перед движением в России и движением на Западе, различны. Глупо есть суп вилкой. На данный момент в нашей среде сложилось устойчивое мнение о необходимости получения достоверной внутренней переписки правительственных чиновников, связанных с работой в сети. Никаких иных особо значимых причин в выборе цели не было.
- Такое впечатление, что в политической борьбе в киберпространстве в России участвуют очень мало высококвалифицированных хакеров как со стороны Кремля, так и оппозиции. Это больше похоже на борьбу активистов.
- Да, высококвалифицированных хакеров не так много. Со стороны Кремля, потому как у него есть иные способы добычи информации - от шампанского до изъятия ноутбуков при обыске на таможне (помните случай с изъятием ноутбука у главы «Голоса»?). Власти просто некого атаковать при помощи хакеров - нет четкой цели, требующей именно данного метода. С нашей же стороны, потому как и наши цели на данный момент и в ближайшем будущем не требуют каких-либо значимых хакерских атак. Зачем получать доступ к правительственным сайтам и документации, если самые интересные преступления делаются государственными чиновниками в псевдочастном порядке?
Это одна часть ответа. Другая заключается в том, что наше движение крайне неоднородно по уровню квалификации и возможностям участников. Кто-то способен только нажать кнопку на putinvzrivaetdoma, кто-то ограничен уровнем взлома почтового ящика путем подбора пароля, кто-то способен взломать сайт. Естественно, что количество первых намного больше количества последних и действия первых действительно можно охарактеризовать как борьбу активистов.
Несмотря на рост количества кибератак в политическом Рунете, в большинстве случаев за ними стоят не профессиональные хакеры, а активисты. Для российских киберпреступников хакерство остается прежде всего бизнесом: они готовы принимать политические заказы, но только на коммерческой основе, а в качестве заказчиков предпочитают иметь дело не со спецслужбами, а с кремлевскими молодежными движениями, с которыми можно работать с высокой нормой прибыли и не рискуя потерять свою анонимность.
> < ="originalAuthors">Андрей Солдатов, Ирина Бороган>Предлагаем получить высшее образование в России с оплатой после получения. Купить настоящий диплом можно здесь.