Цивилизация
DDoS'тали
Начиная с 24 февраля в СМИ регулярно появляются сообщения о DDoS-атаках на сайты различных организаций. С одной из самых мощных 26 февраля столкнулся портал «Госуслуги». Иной раз проблема настигает и сами СМИ. Например, 2 и 3 марта из-за DDoS-атак некоторое время часть пользователей не могли загрузить страницы «Газеты.Ru», «Известий», РБК и не только.
Эксперты по информационной безопасности отмечают рост не только числа атак, но и их мощности. В компании «Ростелеком-Солар» рассказали, что до начала спецоперации на Украине пиковые емкости DDoS'ов в РФ были на отметке в среднем 200 Гбит/с. Последние же дни этот показатель увеличился до 750 Гбит/с. Разница почти в четыре раза.
Руководитель направлений WAF и Anti-DDoS компании «Ростелеком-Солар» Егор Валов считает, что причина скачка в мобилизации так называемых хактивистов, групп людей, которые распространяют инструкции и инструменты для организации DDoS-атак, а также вовлекают в эту деятельность неравнодушных интернет-пользователей.
«В данном случае речь идет о «хактивистах», поскольку уровень атакующих относительно невысокий. Они используют наиболее доступные инструменты и рассчитывая взять числом, а не умением», — сказал Валов.
Рост мощностей атак и объемы задействованных в них устройств подтвердили и в компании R-Vision. Там также склоны связывать эту тенденцию с геополитической ситуацией в мире.
Знай не наших
«Хактивисты» координируют свою деятельность преимущественно в Telegram-каналах и чатах. Как правило за такими группами стоят конкретные личности. Одним из них, по данным компании T.Hunter, является проживающий в Прибалтике программист Александр Литреев. Еще 27 февраля он опубликовал в своем Telegram-канале ссылку на веб-сервис «Кибер-Еж», который автоматически подключал к DDoS-атакам пользовательские устройства. На данный момент эта ссылка заблокирована.
Также специалисты T.Hunter выделили Telegram-канал хакера Владислава Хорохорина – CyberSec's. В нем 26 февраля была опубликована инструкция по настройке своих компьютеров для DDoS-атак и призыв направить свои силы на дестабилизацию работы таких российских ресурсов, как «Госуслуги», сайты Генпрокуратуры РФ, Счетной палаты РФ и не только. Вместе с тем Хорохорин угрожал организовать кибератаки, которые могут привести к человеческим жертвам в России.
Еще специалистами T.Hunter было обнаружено несколько украиноязычных ресурсов в Telegram, посвященных исключительно DDoS-атакам России. В крупнейшем канале насчитывается более 65 тыс. подписчиков. В крупнейшем чате – около 25 тыс. участников. По словам руководителя департамента информационно-аналитических исследований T.Hunter Игоря Бедерова, данные о некоторых координаторах этих групп уже переданы правоохранительным органам.
По данным консультанта по информационной безопасности Центра экспертизы компании R-Vision Максима Струпинского, обозначенные выше группы являются далеко не самыми крупными.
Проводя мониторинг социальных сетей, он и его коллеги неоднократно сталкивались с группами с аудиторией более 250 тысяч подписчиков. В них, по словам Струпинского, распространялось ПО, позволяющее создавать отрицательную нагрузку, а также инструкцию по его запуску.
«Далее для получения максимальной эффективности от такой атаки, ведутся координационные работы с отражением времени начала и цели», — сказал эксперт.
В свою очередь главный специалист аудита отдела информационной безопасности T.Hunter Владимир Макаров добавил, что одной из самых популярных среди «хактивистов» программ для организации DDoS является LOIC. Подтверждает эту информацию и то, что скриншотами с настройками этого ПО очень часто обмениваются участники упомянутых украиноязычных чатов.
Игра с огнем
Эксперты по информационной безопасности призывают игнорировать призывы к участию в подобной деятельности. Как минимум потому, что это может быть чревато взломом задействованного устройства.
«Для автоматизации и синхронизации работы ботнета участвующие в этой нелегитимной деятельности должны подключиться к сети и предоставить право отправлять запросы от своего имени.
Как правило, для такого подключения применяется специальное ПО, устанавливаемое на их [участников] устройствах, и, разумеется, нет никаких гарантий, что это ВПО не будет использоваться против самих так называемых «волонтеров», — сказал Егор Валов из «Ростелеком-Солар».
Кроме того, по его словам, участие и организация DDoS-атак карается законом по статьям 272, 273, 274 Уголовного кодекса РФ. По ним предусмотрено наказание в виде лишения свободы сроком от двух до семи лет.