В воскресенье из-за масштабной DDoS-атаки были выведены из строя ряд сайтов информационных ресурсов. В итоге в день выборов перестали работать сайты радиостанции «Эхо Москвы», журналов «Большой город» и The New Times, интернет-порталов Slon.ru и Public Post, «Каспаров.Ru» и петербургского «Закс.Ru». Массовая атака подвесила работу популярного сервиса блогов LiveJournal. Кроме того, не работали ресурсы ассоциации «Голос» — ее сайт и «Карта нарушений» (совместный проект «Голоса» и «Газеты.Ru»). «Также подвергся атакам сайт правозащитников hro.org, «лежали» сайты plushev.com и epic-hero.ru», — сообщил глава правозащитной организации «Агора» (признана в РФ нежелательной организацией) Павел Чиков (признан в РФ иностранным агентом).
При DDoS-атаке (Distributed Denial of Service — распределённая атака на отказ в обслуживании) одновременно организуется множество запросов к компьютерной системе с разных IP-адресов. Цель такой атаки — довести до отказа компьютерную систему, чтобы правомерные пользователи не могли получить доступ к ресурсам системы — серверам, сайтам. Это может быть самоцелью или частью намерения, которое заключается в получении информации, выдаваемой системой в критической ситуации.
К DDoS-атаке может привести правомерное действие. В частности, публикация ссылки на популярном ресурсе, которая ведет на сайт, размещенный на сервере с низкой производительностью. Наплыв посетителей приводит к перегрузке сервера и часть запросов не обслуживается.
В итоге новости, среди которых преобладала информация о нарушениях на выборах, издания размещали в том числе на своих страницах в Twitter и Facebook (владелец компания Meta признана в России экстремистской и запрещена).
К вечеру воскресенья, когда закрылись избирательные участки, работа сайтов СМИ нормализовалась.
Однако с утра в понедельник продолжились атаки на Slon.ru, сообщил «Газете.Ru» генеральный директор издания Максим Кашулинский. По его словам, в целом в эти дни сайт атаковали впервые — и атака была «очень мощной».
Были также сообщения об атаке на сайт «Коммерсанта», однако, как заявил «Газете.Ru» директор по ИТ издательского дома «Коммерсантъ» Герман Митрофанов, у них возникли проблемы с работой сайта в четверг, и это была не DDoS-атака. «Была совершенно другого рода атака, связанная с внесением изменений у провайдеров в наши доменные зоны, и из-за этого сайт какое-то время испытывал проблемы с доступом, — пояснил Митрофанов. — Была потеря трафика до 35%. Это произошло в четверг. В пятницу ситуация уже улучшилась, а в выходные был даже рост трафика. Просто были проблемы с доступом к нашему сайту из сетей некоторых провайдеров. Например, «Акадо» отреагировал на эти проблемы довольно-таки вяло, и неправильные адреса, которые закэшировались в его доменных серверах, не давали пользователям достучаться до сайта «Коммерсанта».
Никто из пострадавших СМИ не усомнился, что атаки на сайты были связаны с выборами в Госдуму.
«Атака на сайт в день выборов очевидно связана с попыткой помешать публикации инфы о нарушениях», — заявил в воскресенье в своем Twitter Венедиктов. «Сегодня день выборов», — кратко прокомментировал Дзядко. В других изданиях конкретизировали свои подозрения.
«Я считаю эту атаку продолжением кампании против ассоциации «Голос», — заявил Кашулинский.
Юрист Павел Чиков, возглавляющий межрегиональную правозащитную организацию «Агора», которая защищает в том числе пострадавших от киберпреступности, рассказал «Газете.Ru», какие механизмы используются для расследования DDoS-атак в современном мире и что мешает России расследовать такие преступления.
— Павел, какие механизмы расследования DDoS-атак существуют в мировой практике и применимы ли они в России?
— Есть очень четкая особенность российских DDoS-атак: только в России их целями являются общественно-политические интернет-ресурсы – СМИ и блоги, например. В целом в мире практика DDoS-атак ограничивается двумя направлениями. Во-первых, это конкурентная борьба в коммерческих целях, когда один конкурент заказывает сайт другого. Такая практика есть.
Практика расследования этих дел в мире существует, но интересно, что она появляется даже у нас в России. Самым громким и, пожалуй, первым было возбуждение уголовного дела в мае этого года против владельца сайта-конкурента сервиса «Аэрофлота» по продаже билетов онлайн. Там конкурирующая фирма «заказала» аналогичный сервис аэрофлота, сайт долгое время не работал, целью было переманивание клиентов на себя. И Федеральная служба безопасности (ФСБ) смогла установить заказчика, доказать организацию, уголовное дело было возбуждено, и был задержан владелец компании-конкурента. (Павел Врублевский, основатель процессинговой компании СhronoPay, был арестован по подозрению в организации DDoS-атаки на серверы компании Assist, которая использовалась в качестве платежной системы при бронировании билетов на сайте «Аэрофлота», в июне 2011 года, расследование продолжается. – «Газета.Ru).
На нашей памяти, а мы сделали анализ с 2008 года, это первый случай, когда по факту DDoS-атаки было возбуждено уголовное дело по ст. 272 Уголовного кодекса (неправомерный доступ к компьютерной информации). Мировая практика расследования DDoS-атак преимущественно и состоит из подобных дел.
— А второе направление какое?
— Второй тип ситуаций – это внешнеполитические взаимоотношения между государствами, когда, например, китайцы атакуют сайт Пентагона, есть такой аспект международных отношений.
Внутриполитические же DDoS-атаки – это чисто российское ноу-хау. Есть очень интересное исследование роли спецслужб в этих атак, один из авторов – журналист Андрей Солдатов из Агентуры.ру. В его книге «Новое дворянство. Очерки истории ФСБ» есть блок, связанный с кибератаками. Позиция автора как раз в том, что он не связывает эти атаки жестко со спецслужбами, а прослеживает следующую закономерность: эти попытки использования атак на сайты развивались параллельно с развитием молодежных движений, появляющихся по инициативе администрации президента. И масса косвенных индикаторов свидетельствует о том, что эта практика развивалась, и все более активно в последние десять лет, в структуре этих самых «молодежек».
— Что, и «Голос» — это тоже «молодежки»?
— С «Голосом» ситуация интересна тем, что это первый случай, когда онлайновая атака сопровождалась оффлайновыми мероприятиями по линии таможни, погранслужб и прокуратуры. Это первый подобный случай, который говорит о том, что организатор DDoS-атаки мог управлять и всеми другими, а это, в свою очередь, наводит на мысли о том, кто это может быть. Не так много структур и людей в России, которые могут синхронизировать действия таможни, прокуратуры и хакеров.
— DDoS-атаки идут же преимущественно с зарубежных серверов. Это главная проблема, с которой сталкиваются правоохранительные органы? И как ее решают во всем мире?
— Да, особенность заключается в том, что расследовать такие дела можно только при условии тесного сотрудничества правоохранительных органов различных стран. Понятно почему – потому что используются компьютеры, находящиеся в пределах юрисдикций разных государств. В связи с этим еще в 1990-х годах в рамках Совета Европы была принята Конвенция по борьбе с киберпреступностью, и в 1999 году Россия ее подписала.
Суть этой Конвенции в том, что правоохранительные органы одного государства дают разрешение правоохранительным органам другого государства беспрепятственно копировать контент с серверов на своей территории при расследовании киберпреступлений. Потому что доказать DDoS-атаку, когда идут сотни тысяч кликов в секунду и огромное количество компьютеров сразу задействовано, отследить, кто ими управляет с разных серверов, можно только получив доступ к этим серверам, дальше идти к другим серверам и так далее. Это большое техническое расследование, но его еще надо легализовать, чтобы использовать эти данные в качестве доказательства.
А оперативные службы из России не могут легализовать какой-то контент, находящийся на серверах в юрисдикции другого государства. Должно быть соглашение между государствами. Причем оно может касаться только этого конкретного дела или должно быть соглашение о расследовании такой категории дел. Вообще примеры расследования дел, связанных с киберпреступностью, совместно ФБР и ФСБ есть, и их довольно много. Расследуются дела о кибермошенничествах, например, наш адвокат Дмитрий Динзе участвовал в совместном расследовании спецслужб США, Турции и России.
Но у России таких соглашений нет. По крайней мере, международных документов, которые должны открыто публиковаться, не существует, может, есть что-то на уровне спецслужб, секретные какие-то документы. Если речь идет о Соединенных Штатах, то вопрос каждый раз решается политически, надо сотрудничать или не надо.
— А как же подписанная конвенция?
— Возвращаясь к конвенции Совета Европы: Россия в 1999 году ее подписала, но не ратифицировала. А потом в 2008 году Владимир Путин, будучи еще президентом России, отозвал подпись России под этой конвенцией. То есть по сути дела сделал шаг назад. И мы видим результаты этого.
Например, когда мы обращались с завлением о DDoS-атаке на сайт «Новой газеты» весной этого года, ответом был отказ в возбуждении уголовного дела, в котором написано буквально следующее: у нас нет возможности выяснить, кто совершил атаку, поэтому нет состава преступления. Это ответ из Следственного комитета при МВД. Логики нет в этом ответе: если вы не можете найти, кто его совершил, это не значит, что нет самого преступления. В итоге это тот вид преступной деятельности, который на данный момент не имеет никакой возможности в России быть расследованным.
— Но когда дела все-таки возбуждают, как в случае с «Аэрофлотом», действия всегда квалифицируются по ст. 272 УК?
Да. Но в тех случаях, когда речь идет о средствах массовой информации, мы утверждаем, что есть еще и статья 144 — воспрепятствование законной журналистской деятельности. Но ни одного такого дела не было даже возбуждено.
— Есть ли какая-то практика обжалования этих отказов в Страсбурге?
Европейский суд ни разу не рассматривал подобные дела до сих пор, мы специально узнавали, потому что собираемся обращаться туда. Но позиция Европейского суда такая: по делам, связанным со свободой выражения мнения, государство обязано обеспечить эффективные средства защиты. Таким образом, ЕСПЧ не говорит про DDoS-атаки, но говорит, что свобода выражения мнения должна быть защищена государством, иначе это будет нарушением ст. 10 о свободе слова.
Итогом DDoS-атак стал ряд заявлений в правоохранительные органы, в частности от «Коммерсанта», «Эха Москвы» и Slon.Ru. «Отправлены заявления генпрокурору Юрию Чайке и руководителю управления К МВД Алексею Мошкову», — заявил Венедиктов, добавив, что намерен приложить все силы, чтобы найти хакеров. «Я напомню всем заинтересованным лицам, что кроме статьи 272 Уголовного кодекса о несанкционированном вмешательстве в электронные системы, есть еще и статья 144 Уголовного кодекса о препятствовании распространения информации и профессиональной деятельности журналистов, которая предусматривает до 6 лет лишения свободы», — сказал он, отметив, что к расследованию подключилась служба безопасности группы «Газпром», «которая имеет немало возможностей». По словам Венедиктова, идею о расследовании поддержал гендиректор «Газпром медиа» Николай Сенкевич.
В ассоциации «Голос» сообщили, что также напишут в прокуратуру заявление об атаке, но чуть позже.
Как сообщили в ассоциации, атаки на их сайты начались еще на прошлой неделе, а в день выборов усилились настолько, что не выдержали сервера. Продолжались они и в понедельник.
«В итоге были потеряны обращения граждан с нарушениями через интернет: это был путь передачи видеороликов и фотографий. Но мы все равно составляли «Карту нарушений», используя информацию, которая поступала к нам по «горячей линии», — рассказал «Газете.Ru» заместитель исполнительного директора ассоциации «Голос» Григорий Мельконьянц. – Когда сайт упал, мы начали публиковать поступающую информацию в блоге на LiveJournal. Потом ЖЖ тоже «положили», и мы стали размещать данные в виде документов на Google.com. Но и там все работало очень медленно. Сейчас мы призываем граждан восстановить «Карту нарушений», чтобы увидеть масштабы. А также планируем сделать так, чтобы граждане могли обжаловать эти нарушения».
В России уголовные дела о DDoS-атаках крайне редко доходят до суда.
«Насколько я знаю, ни одного организатора DDoS-атак к ответственности не привлекли, — сообщил Кашулинский. — Это особенных надежд нам не внушает. Мы напишем заявление, а там будем смотреть. Может быть, мы объединимся с другими сайтами, которые пишут такие же заявления».
Впрочем, в управлении К МВД «Газету.Ru» заверили, что найти хакеров можно. Правда, вспомнить свежий случай раскрытия DDoS-атаки так и не смогли, рассказав только о задержании хакеров в Уфе в январе 2009 года. Тогда были задержаны два молодых человека 26 и 24 лет, которые шантажировали владельцев крупных компаний, угрожая заблокировать их сайты. Бизнесмены были вынуждены ежемесячно переводить хакерам деньги, чтобы они не выполнили свою угрозу.
Летом 2011 года появилась информация об аресте основателя процессинговой компании СhronoPay Павла Врублевского по подозрению в организации 16 июля 2010 года DDoS-атаки на сервера компании Assist, что привело к блокировке платежной системы, а ее клиенты не могли приобрести билеты на сайте «Аэрофлота». Таким образом Врублевский хотел дискредитировать Assist, считают в ФСБ. ChronoPay также претендовал на заключение выгодного контракта по продаже электронных билетов и пытался избавиться от конкурента. Ликвидация атаки заняла слишком много времени, поэтому «Аэрофлот» подписал контракт с Альфа-банком. Согласно материалам уголовного дела, «Аэрофлот» и Assist понесли убытки на сумму более 1 млн рублей.
Крупнейшей же DDoS-атакой в 2011 году стало нападение на сервис блогов LiveJournal.
В марте — апреле LiveJournal перенес несколько DDoS-атак, которые продолжались не менее 20 часов. Тогда хакеров интересовали пять топ-блогеров ЖЖ. Позже удар распространился на весь ресурс и должен был рассеять аудиторию LiveJournal. Из-за весенних атак не работала даже страница президента Дмитрия Медведева. Летом была зафиксирована еще одна атака, в результате которой посещаемость сервиса за четыре дня упала на 18%. После этого руководство «СУП фабрик» обратилось в правоохранительные органы с целью установить нарушителей и привлечь их к уголовной ответственности.
Полиция провела проверку, но отказалась возбуждать дело, сославшись на «отсутствие события преступления».
В результате проверки выяснилось, что во время нападения хакеров подключения к LiveJournal осуществлялись из регионов России, стран Азии, Африки, Европы и Южной Америки. Но «идентифицировать неправомерные запросы» в полиции не смогли «в связи с большим объемом пользователей».
По словам аналитика компании SearchInform Романа Идова, организовать DDoS-атаку несложно: в сети есть специальные сайты, позволяющие это сделать. Исполнителей, которые «обвалят» сайт, можно найти на специализированных закрытых форумах. «DDoS-атаку нужно тщательно готовить — поиск исполнителя и является одним из важнейших этапов. Длительность подготовки зависит от опыта организаторов и может занимать от нескольких часов до нескольких недель», — говорит Идов. Атаки проводят с помощью ботнетов — сетей компьютеров, зараженных «троянами», подконтрольными продавцам атак. Если у организатора уже есть контакт с владельцем ботнета, остается только перевести деньги, и нападение может начаться в ту же минуту, рассказал он.
Идов говорит, что по сравнению с крупнейшими мировыми хакерскими атаками воскресное нападение на СМИ сравнительно небольшое.
Крупнейшая в этом году DDoS-атака на сайт одной из азиатских компаний генерировала по 15 тысяч запросов в секунду, в то время как многочасовая атака на информационные сайты 4 декабря генерировала, по оценкам специалистов, около 200 тысяч запросов в минуту. «Но для каждого из атакованных сайтов это была серьезная проблема. Такая атака стоит сравнительно недорого: на все сайты ее организаторы вряд ли потратили более $30 тысяч», — говорит Идов. Атаки мирового масштаба могут обходиться заказчику в $100 тысяч за час.
При этом предотвратить нападение хакеров, считает эксперт, довольно сложно. «Нужно быстро нарастить вычислительную мощность площадки, что очень дорого. А определить источник атаки в случае ботнета практически невозможно», — подытожил Идов.
По мнению специалистов, DDoS-атака на СМИ и правозащитников была не классической.
«Это был DDoS не в классическом исполнении с заражением большого количества компьютеров вредоносным кодом и объединением их в сеть. Это были некие другие механизмы, более часто сейчас используемые, — пояснил «Газете.Ru» Митрофанов. — Но сказать точно, какого рода эти механизмы, я не готов. Касперский (Евгений Касперский — специалист по антивирусной защите, основатель Лаборатории Касперского. — «Газета.Ru») говорил, что он тоже не заметил следов ботнета. Но результат, конечно, тот же самый».
