На смену киллерам пришли кибервандалы
«В России DDoS-атаки сделались рядовой практикой, – пишет Spiegel. – В дикие 90-е годы одиозные бизнесмены нанимали киллеров, сегодня они заказывают кибервандалов». Spiegel в последнем номере рассказывает о российских хакерах, которые способны по бросовым ценам вывести из строя сайт конкурента или политического противника. По данным немецкого издания, атака сервера бессмысленными запросами с десятков тысяч «зомбированных» компьютеров стоит примерно 150 долларов. Постоянным клиентам – скидка. Авторитетное немецкое издание приводит слова некоего Василия, 18-летнего жителя российской глубинки, живущего в двух часовых поясах восточнее Москвы. Он говорит, что способен по заказу бомбардировать нужный сервер бессмысленными запросами с 50 тыс. компьютеров.
Лавина запросов парализует систему. Она «буквально задыхается в мусоре», смеясь сообщил Василий немецкому журналисту.
Эта атака на языке программистов именуется DDoS (Distributed Denial of Service). По версии Spiegel, объектами подобных нападений становятся сайты тысяч компаний по всему миру. Их исполнителей издание называет «современными наемниками».
По европейским меркам услуги российских хакеров невысоки: Василий просит 150 евро за «высококачественный сервис». На два заказа предоставляется скидка в 35%.
Интернет-пираты взламывают компьютеры, инсталлируют программы, которые вынуждают машину без ведома владельца исполнять чужие приказы. Так, Василий рассказал немецкому изданию о некой гинекологической клинике во Франции, компьютерная система которой оказалась слепым орудием в его руках.
«Владельцы компьютеров не знают, что их используют в преступных целях», – пояснил немецкому журналу Петер Штамм, руководитель отдела по борьбе с компьютерной преступностью в федеральном криминальном ведомстве в Висбадене. По данным немецких экспертов, до четверти всего интернет-пространства может оказаться «зомбировано».
Программа, которой пользуется Василий, именуется «Смерч». Он задает адрес атакуемого сервера и длительность «военных действий». Уже через пять минут его «зомби» рапортуют о полной боевой готовности.
Большинство жертв подобных атак остаются неизвестны, не желая утратить доверие своих клиентов. Spiegel рассказывает о массированной атаке хакеров питерского провайдера Infobox в мае этого года, когда страницы нескольких тысяч клиентов вдруг оказались недоступны. «Наша репутация серьезно пострадала», – в интервью германскому изданию признал руководитель фирмы Алексей Бахтияров.
Называя Россию «оплотом хакеров», Spiegel сообщает о некой церемонии награждения, которая проходила в московской квартире. Специалист по компьютерным взломам Илья Васильев вручал знаки отличия «гражданской школы хакеров» – черный пояс, как в дзюдо. «На моих дистанционных курсах занимаются даже люди из Германии», – с гордостью заявил 33-летний хакер.
«Конкурента проще изъять из обращения с помощью DDoS, нежели инвестировать деньги в собственный маркетинг», – пояснил журналу Пол Соуп из американской фирмы Prolexic, занимающейся компьютерной безопасностью. По его данным, число ежедневных атак составляет около 10 тысяч. «Возможно, это преувеличение, – осторожно замечает издание, – ведь Prolexic зарабатывает на боязни хакеров. Клиенты фирмы платят от 7 тыс. до 25 тыс. долларов в месяц».
Особенно опасны хакеры для компаний, работающих преимущественно в Интернете. Так, в июне на пять часов была приостановлена работа московской фирмы OSMP. Ущерб оценен в 150 тыс. долларов. «Интернет идеален для преступников. Риск быть пойманным близок к нулю, – говорит Соуп. – Это ситуация как во времена Дикого Запада».
В середине 90-х Владимир Левин, математик из Санкт-Петербурга, взломал центральный компьютер Citibank и перевел на счета своих друзей около 10 млн долларов.
Два года назад неизвестные восточноевропейские взломщики потребовали 40 тыс. евро от немецкого онлайн-казино Fluxx.
Их требование не было выполнено. Между тем, по данным Spiegel, британские устроители лотерей позволили пиратам нажиться примерно на 4 млн долларов.
«Уже давно хакеры угрожают не только экономике, – продолжает Spiegel. – В России, к примеру, они стали важным фактором в политическом противостоянии накануне выборов».
Особое внимание издание уделяет истории о прекращении на четыре дня онлайн-вещания радио «Эхо Москвы». «Атака была хорошо спланированной и, вероятно, заказной», – приводит немецкий журнал слова главного редактора радиостанции Алексея Венедиктова.
«В числе моих заказчиков и политические структуры», – утверждает хакер, назвавшийся Сергеем. По его словам, атака на сайт «Эха Москвы» оценивается в сумму не больше 400 долларов в день.
«В России DDoS-атаки сделались рядовой практикой, – пишет Spiegel. – В дикие 90-е годы одиозные бизнесмены нанимали киллеров, сегодня они заказывают кибервандалов».
Как это происходит на практике
30 июля нынешнего года “Южная телекоммуникационная компания” (ЮТК, Россия) подала в суд для возбуждения уголовного дела по факту хакерской (DDOS) атаки на свои IP-адреса. Атака началась более месяца назад, но ее интенсивность не снижается и по сей день – в пиковые дни она достигает 4 млрд обращений в секунду. По признанию участников рынка, эта крупнейшая DDOS-атака в Рунете за последние пять лет.
“Первая активность хакеров проявилась 27 июня 2007 г. в Астраханском филиале ЮТК, – рассказывал на недавней пресс-конференции директор по информационным технологиям ЮТК Станислав Бородин. – Тогда и была зафиксирована DDOS-атака. После этого она видоизменялась и модифицировалась, стала распространяться на другие филиалы ЮТК”. 22 июля началась новая волна атаки, в 7 раз превысившая по интенсивности первоначальную. По словам начальника службы эксплуатации сетей ЮТК Александра Павличенко, 22 июля было зафиксировано больше 1,5 млрд обращений на сети ЮТК, а 23 июля – до 4 млрд. обращений в секунду. “Сеть бомбардируется тотально, адреса, с которых идет бомбардировка, подмененные”, – пояснил Александр Павличенко.
“Объем запросов, который озвучила ЮТК, свидетельствует о достаточно большом количестве используемых для атаки компьютеров – их несколько десятков тысяч”, – признает руководитель экспертной группы компании “Антивирусный центр” Николай Ионов. По его подсчетам, аренда такой виртуальной хакерской сети стоит несколько тысяч долларов в день. Заместитель директора по связям с общественностью ростовской Интернет-компании “Цифровые телефонные сети” (ЦТС) Андрей Пастушенко находит, что речь идет явно не о десятках миллионов долларов, а, скорее, “о большом времени подготовки и серьезности намерений атакующей стороны”.
Финансовые потери самой ЮТК в компании пока не озвучивают. Эксперт фонда “Финам – Информационные технологии” Виктор Галенко полагает, что они носят больше имиджевый характер. “Даже если клиенты ЮТК потребуют назад деньги за непредоставленные сервисы, МРК может сослаться на форс-мажор, который прописан в любых договорах”, – считает аналитик. Пока, по данным ЮТК, обращений в суд по данному поводу со стороны клиентов не поступало. “Пострадали и наши пользователи, и сама ЮТК, – говорит коммерческий директор ЮТК Аркадий Самойлов. – Мы рассматриваем возможность некоторой компенсации нашим пользователям за неудобства, причиненные по вине третьих лиц”.
“DDOS-атака организуется с сотен или с тысяч компьютеров, которые предварительно заражены вирусами и подчиняются какому-то отдельному компьютеру, – рассказал Станислав Бородин. – Такие запросы требуют обработки, на которую затрачиваются ресурсы маршрутизаторов, возникает стопроцентная загрузка оборудования, отвечающего за маршрутизацию и происходит замедление или полное прекращение предоставления сервисов для пользователей”. Расследование причин атаки продолжается.
По мнению ЮТК, атака организована из-за рубежа. “Это преимущественно США, Великобритания, Нидерланды, – говорит Станислав Бородин. – Понятно, почему – если бы атака шла с нашей территории, мы бы нашли источник вредоносной активности достаточно быстро. И ее организаторы уже общались бы с другими органами. Понятно, что при таком подходе требуется эффективное взаимодействие с вышестоящими федеральными провайдерами, а они, в свою очередь, контактируют с корневыми провайдерами Интернета”. “Основная масса пакетов исходит с зарубежных сетей, – согласен и Роман Емельянов, и.о. директора департамента по безопасности ЗАО “Компания “ТрансТелеКом”. – По масштабу и профилю подобных атак за последние пять лет мы еще в Рунете не встречали”.
Атака не прекращается и по сей день. Как сообщила ComNews пресс-служба ЮТК, интенсивность хакерских запросов не снижается, лишь немного затихая ночью. Сегодня, в понедельник 30 июля, “ЮТК планирует подать в суд для возбуждения уголовного дела по факту хакерской атаки”, – добавили в пресс-службе компании.
В ЮТК, ссылаясь на зарубежный опыт, говорят, что в основе таких атак лежат экономические интересы конкурентов. Аналитики, однако, придерживаются мнения, что вряд ли атака была спланирована коллегами по бизнесу.
“Вряд ли это происки конкурентов, – считает директор по развитию “Коминфо Консалтинг” Евгений Соломатин. – Обычно такие атаки делаются ради “баловства”. Люди пробуют свои силы. Это своеобразная “проверка на прочность” сетей ЮТК”. Подобной позиции придерживается и ассоциированный партнер J&P Борис Овчинников. “Самая очевидная версия – конкуренты – кажется маловероятной, поскольку очевидно, что перегрузка каналов, ведущих в сети ЮТК, неизбежно создает проблемы практически для всех провайдеров Южного округа, трафик к которым и от которых идет по тем же самым каналам, – говорит он. – 4 млрд обращений в секунду – какая-то нереальная цифра. Удивительно, почему проблемы почувствовали только пользователи ЮТК, а не все российские пользователи”.
Однако, например, работающего на тех же каналах ростовского оператора “Цифровые телефонные сети” (ЦТС) хакерские атаки не затронули. “Наша компания от этой хакерской атаки не пострадала, но мы внимательно следим за развитием ситуации, – рассказал репортеру ComNews Андрей Пастушенко из ЦТС. – В настоящее время все внешние каналы, которыми пользуется ЦТС, работают в штатном режиме. DDOS-атака направлена на конкретные IP-адреса, и это одна из наиболее серьезных угроз, которые в последнее время возникает в Интернете, поэтому у ЮТК есть повод для волнений. По всей видимости, это хулиганство с
большой буквы”.
По мнению Виктора Галенко, наиболее очевидный повод для атаки – решение о проведении олимпиады в Сочи. “По имеющейся информации, DDOS-атака идет с Запада, в частности, из Великобритании, – говорит Виктор Галенко. – Очевидно, британские хакеры решили поддержать родную страну, а выбор их вполне логично пал на крупнейшего оператора наиболее раскручиваемого на Западе российского региона”.
Центр исследования компьютерной преступности