Юрист Павел Чиков, возглавляющий межрегиональную правозащитную организацию «Агора», которая защищает в том числе пострадавших от киберпреступности, рассказал «Газете.Ru», какие механизмы используются для расследования DDoS-атак в современном мире и что мешает России расследовать такие преступления.
— Есть очень четкая особенность российских DDoS-атак: только в России их целями являются общественно-политические интернет-ресурсы – СМИ и блоги, например. В целом в мире практика DDoS-атак ограничивается двумя направлениями. Во-первых, это конкурентная борьба в коммерческих целях, когда один конкурент заказывает сайт другого. Такая практика есть.
Практика расследования этих дел в мире существует, но интересно, что она появляется даже у нас в России. Самым громким и, пожалуй, первым было возбуждение уголовного дела в мае этого года против владельца сайта-конкурента сервиса «Аэрофлота» по продаже билетов онлайн. Там конкурирующая фирма «заказала» аналогичный сервис аэрофлота, сайт долгое время не работал, целью было переманивание клиентов на себя. И Федеральная служба безопасности (
— Мне кажется, что DDoS-атаки на сайты, которые так или иначе поддержали эту ассоциацию, стали финальным аккордом». Этой версии также придерживаются шеф-редактор журнала The New Times Илья Барабанов и Чиков. «Нападению подверглись сайты изданий, разместивших у себя «кнопку», ведущую на «Карту нарушений», а также те, чьи журналисты работали на избирательных участках», — отметил глава «Агоры».
Итогом DDoS-атак стал ряд заявлений в правоохранительные органы, в частности от «Коммерсанта», «Эха Москвы» и Slon.Ru. «Отправлены заявления генпрокурору Юрию Чайке и руководителю управления К МВД Алексею Мошкову», — заявил Венедиктов, добавив, что намерен приложить все силы, чтобы найти хакеров. «Я напомню всем заинтересованным лицам, что кроме статьи 272 Уголовного кодекса о несанкционированном вмешательстве в электронные системы, есть еще и статья 144 Уголовного кодекса о препятствовании распространения информации и профессиональной деятельности журналистов, которая предусматривает до 6 лет лишения свободы», — сказал он, отметив, что к расследованию подключилась служба безопасности группы «Газпром», «которая имеет немало возможностей». По словам Венедиктова, идею о расследовании поддержал гендиректор «Газпром медиа» Николай Сенкевич.
В ассоциации «Голос» сообщили, что также напишут в прокуратуру заявление об атаке, но чуть позже.
Как сообщили в ассоциации, атаки на их сайты начались еще на прошлой неделе, а в день выборов усилились настолько, что не выдержали сервера. Продолжались они и в понедельник.
«В итоге были потеряны обращения граждан с нарушениями через интернет: это был путь передачи видеороликов и фотографий. Но мы все равно составляли «Карту нарушений», используя информацию, которая поступала к нам по «горячей линии», — рассказал «Газете.Ru» заместитель исполнительного директора ассоциации «Голос» Григорий Мельконьянц. – Когда сайт упал, мы начали публиковать поступающую информацию в блоге на LiveJournal. Потом ЖЖ тоже «положили», и мы стали размещать данные в виде документов на Google.com. Но и там все работало очень медленно. Сейчас мы призываем граждан восстановить «Карту нарушений», чтобы увидеть масштабы. А также планируем сделать так, чтобы граждане могли обжаловать эти нарушения».
В России уголовные дела о DDoS-атаках крайне редко доходят до суда.
«Насколько я знаю, ни одного организатора DDoS-атак к ответственности не привлекли, — сообщил Кашулинский. — Это особенных надежд нам не внушает. Мы напишем заявление, а там будем смотреть. Может быть, мы объединимся с другими сайтами, которые пишут такие же заявления».
Впрочем, в управлении К МВД «Газету.Ru» заверили, что найти хакеров можно. Правда, вспомнить свежий случай раскрытия DDoS-атаки так и не смогли, рассказав только о задержании хакеров в Уфе в январе 2009 года. Тогда были задержаны два молодых человека 26 и 24 лет, которые шантажировали владельцев крупных компаний, угрожая заблокировать их сайты. Бизнесмены были вынуждены ежемесячно переводить хакерам деньги, чтобы они не выполнили свою угрозу.
Летом 2011 года появилась информация об аресте основателя процессинговой компании СhronoPay Павла Врублевского по подозрению в организации 16 июля 2010 года DDoS-атаки на сервера компании Assist, что привело к блокировке платежной системы, а ее клиенты не могли приобрести билеты на сайте «Аэрофлота». Таким образом Врублевский хотел дискредитировать Assist, считают в ФСБ. ChronoPay также претендовал на заключение выгодного контракта по продаже электронных билетов и пытался избавиться от конкурента. Ликвидация атаки заняла слишком много времени, поэтому «Аэрофлот» подписал контракт с Альфа-банком. Согласно материалам уголовного дела, «Аэрофлот» и Assist понесли убытки на сумму более 1 млн рублей.
Крупнейшей же DDoS-атакой в 2011 году стало нападение на сервис блогов LiveJournal.
В марте — апреле LiveJournal перенес несколько DDoS-атак, которые продолжались не менее 20 часов. Тогда хакеров интересовали пять топ-блогеров ЖЖ. Позже удар распространился на весь ресурс и должен был рассеять аудиторию LiveJournal. Из-за весенних атак не работала даже страница президента Дмитрия Медведева. Летом была зафиксирована еще одна атака, в результате которой посещаемость сервиса за четыре дня упала на 18%. После этого руководство «СУП фабрик» обратилось в правоохранительные органы с целью установить нарушителей и привлечь их к уголовной ответственности.
Полиция провела проверку, но отказалась возбуждать дело, сославшись на «отсутствие события преступления».
В результате проверки выяснилось, что во время нападения хакеров подключения к LiveJournal осуществлялись из регионов России, стран Азии, Африки, Европы и Южной Америки. Но «идентифицировать неправомерные запросы» в полиции не смогли «в связи с большим объемом пользователей».
По словам аналитика компании SearchInform Романа Идова, организовать DDoS-атаку несложно: в сети есть специальные сайты, позволяющие это сделать. Исполнителей, которые «обвалят» сайт, можно найти на специализированных закрытых форумах. «DDoS-атаку нужно тщательно готовить — поиск исполнителя и является одним из важнейших этапов. Длительность подготовки зависит от опыта организаторов и может занимать от нескольких часов до нескольких недель», — говорит Идов. Атаки проводят с помощью ботнетов — сетей компьютеров, зараженных «троянами», подконтрольными продавцам атак. Если у организатора уже есть контакт с владельцем ботнета, остается только перевести деньги, и нападение может начаться в ту же минуту, рассказал он.
Идов говорит, что по сравнению с крупнейшими мировыми хакерскими атаками воскресное нападение на СМИ сравнительно небольшое.
Крупнейшая в этом году DDoS-атака на сайт одной из азиатских компаний генерировала по 15 тысяч запросов в секунду, в то время как многочасовая атака на информационные сайты 4 декабря генерировала, по оценкам специалистов, около 200 тысяч запросов в минуту. «Но для каждого из атакованных сайтов это была серьезная проблема. Такая атака стоит сравнительно недорого: на все сайты ее организаторы вряд ли потратили более $30 тысяч», — говорит Идов. Атаки мирового масштаба могут обходиться заказчику в $100 тысяч за час.
При этом предотвратить нападение хакеров, считает эксперт, довольно сложно. «Нужно быстро нарастить вычислительную мощность площадки, что очень дорого. А определить источник атаки в случае ботнета практически невозможно», — подытожил Идов.
По мнению специалистов, DDoS-атака на СМИ и правозащитников была не классической.
«Это был DDoS не в классическом исполнении с заражением большого количества компьютеров вредоносным кодом и объединением их в сеть. Это были некие другие механизмы, более часто сейчас используемые, — пояснил «Газете.Ru» Митрофанов. — Но сказать точно, какого рода эти механизмы, я не готов. Касперский (Евгений Касперский — специалист по антивирусной защите, основатель Лаборатории Касперского. — «Газета.Ru») говорил, что он тоже не заметил следов ботнета. Но результат, конечно, тот же самый».