Новости
Сделать Газету.Ru своим источником в Яндекс.Новостях?
Нет, не хочу
Да, давайте

О дивный новый DDoS. Кто координирует кибератаки на Россию

ИБ-специалисты рассказали об «оружии» украинской IT-армии

Около 40 сообществ в Telegram ежедневно атакуют объекты российской инфраструктуры. Каждый день на них публикуют список сайтов, по которым будет нанесен удар. На следующий день в тех же сообществах выкладывают доказательства успешной атаки, в противном случае IT-генералы просят провести атаку еще раз. «Газета.Ru» изучила инструкции для участников DDoS-атак, а также попросила ИБ-специалистов оценить специализированное ПО — «оружие», которым пользуется «IT ARMY of Ukraine».

Под обстрелом

С 24 февраля российские интернет-ресурсы массово атакуют с помощью инструментов для проведения DDoS-атак. Чтобы координировать такие действия, которые наказываются законодательством многих стран реальными тюремными сроками, создано около сорока Telegram-каналов. Об этом «Газете.Ru» рассказал основатель и владелец российской компании «Интернет-Розыск» Игорь Бедеров.

«Данная работа координируется через 40 сообществ. Есть крупные, есть мелкие. Бывает, что более крупные разделяются по направлениям, — например, исключительно для удара по банкам или СМИ» - отметил Игорь Бедеров.

Исключительность этой ситуации состоит в том, что к участию в таких атаках призвал министр цифровой трансформации Украины Михаил Фёдоров.

В интервью иностранным СМИ глава украинского ведомства не раз говорил, что организовал «первую в мире киберармию».

«На данный момент у нас около 300 тыс. специалистов. Участие добровольное, и мы организуем его через Telegram, куда выкладываем ежедневные задания. Личного контакта с киберволонтерами нет», — сообщил Федоров в интервью испанской газете El País еще 27 апреля.

По оценке Игоря Бедерова, в атаках принимает участие около 650 тыс. человек. Но это дать точные оценки очень сложно.

Такого же мнения о невозможности оценки количества участников атак придерживается и директор экспертного центра безопасности компании Positive Technologies Алексей Новиков.

«Только в одном из чатов, где координируются атаки, мы видим около 300 тысяч участников», – рассказал Новиков «Газете.Ru». – «Сколько атакующих на самом деле, оценить невозможно. Но ясно, что меньше их не становится».

По словам Игоря Бедерова, мессенджер Telegram никак на данную активность не реагирует. И каналы, и их администраторы связаны друг с другом.

«Есть админы, которые держат несколько чатов. Мы их идентифицировали. И мы знаем, что там одни и те же администраторы, которые начинали эту историю и в дальнейшем ее курировали. Нам удалось идентифицировать около 20 человек. Им примерно 23-30 лет. Много учащихся технических вузов, студентов», - отметил Бедеров.

По словам специалиста, большинство участников данных сообществ используют либо общедоступное программное обеспечение, которое размещают в сообществе, либо внешний веб-сайт, где ПО уже размещено. То есть уровень и участников, и организаторов очень низок.

Что такое DDoS-атака?

Напомним, что под DDoS-атаками понимают действия, направленные на блокировку какого-либо веб-ресурса. Это массовая отсылка запросов на сервер или веб-сайт, который нужно «положить». Количество подобных запросов должно превышать все возможные лимиты. Это стало возможным благодаря тысячам участников.

Реальная DDoS-атака предполагает «массовость» каких-либо действий, например: направление на сервер некорректных инструкций, выполнение которых приводит к аварийному завершению работы. Или массовая атака ложными адресами, что приводит к «забиванию» каналов связи. Можно перенаправить огромное количество пользовательских данных на сервер, что приводит к их бесконечной обработке.

Цель DDoS–атаки в том, чтобы выбранный для атаки сервер перестал работать.

Для этого Министерство цифровой трансформации Украины организовало Telegram-канал «IT ARMY of Ukraine». Там ежедневно присылают список адресов российских сайтов, на которые надо совершить DDoS–атаку.

Самые свежие цели, на которые была направлена активность украинской IT-армии (от 25 мая), — это Московская и Санкт-Петербургская валютные биржи.

По итогам атак в Telegram-канале появляются ободряющие cообщения. Например, вот такие: «Давайте сегодня закрепим результаты последних дней и подержим (оставим в неработающем состоянии) ресурсы российских банков и МФО.»

Для доказательства успеха атак публикуются скрины сообщений в российских СМИ или скрины страниц неработающих сайтов компаний. Вот такое было размещено 23 мая: «Несколько крупнейших российских микрофинансовых организаций остановили утром 23 мая свою работу из DDoS–атак на свои сайты. Более 20 компаний остановили выдачу онлайн-займов.»

Цифровые «жнецы»

Есть также ассоциированные с «IT ARMY of Ukraine» другие каналы, которые помогают в атаках «Министерству цифровой трансформации Украины». Благодарности кураторам этих каналов регулярно появляются в «IT ARMY».

«Газета.Ru» насчитала еще 12 постоянных сообществ, среди которых «Украинский жнец», «КіберПаляниця», «Студенческий комитет кибербезопасности и обороны Украины», CYBER CERBER, «Гайдамаки», »Anonymous – Украина» и другие.

Некоторые организаторы атак постоянно работают над усовершенствованием своего «IT-оружия». Например, организаторы канала «Украинский жнец» примерно раз в пять дней сообщают об обновлении своей программы Multiddos.

«Напоминаем об обновлении mhddos_proxy, которое позволяет еще эффективнее атаковать российские ресурсы. Инструкция доступна по ссылке. А также о телеграмм боте, которому можно предоставить свои облачные ресурсы, а он в свою очередь будет централизованно запускать атаку с них», - пишут кураторы «Украинского жнеца».

Как рассказал «Газете.Ру» технический директор Swordfish Security Антон Башарин, Multiddos создано специально для осуществления DDoS-атак и не является модификацией какой-либо администраторской утилиты.

«Это ПО представляет собой интерфейс для работы с несколькими инструментами. Часть из них была известна ранее, часть была разработана относительно недавно. Утилита Multiddos, известная ранее как auto_mhddos, появилась в сети в середине марта этого года,» – отметил Башарин.

По его словам, это ПО обладает рядом неплохих характеристик. Оно объединяет в себе несколько утилит и для осуществления DDoS-атак, и для мониторинга.

«Multiddos формирует трафик, похожий на действие реального пользователя, применяя очень много случайных данных. Очевидно, что для формирования структуры запросов и их последовательности используется трафик реальной системы, либо компиляция из нескольких систем», - говорит Башарин.

Ради постоянного обновления системы «Украинские жнецы» регулярно ищут специалистов. В требуемых навыках: умение создавать вирусы, пентестить (умение находить уязвимости и проблемы в чужом ПО, – «Газета.Ru»), создавать фишинговые сайты. Еще в приоритете – много свободного времени, которое, как можно предполагать, будет затрачено на совершенствование «IT-оружия».

Специалисты компании Positive Technologies и других компаний, которые профессионально занимаются безопасностью, просматривают сообщения с указанием целей атак на таких Telegram-каналах, чтобы, по возможности, предотвратить их, - объясняет Алексей Новиков. Но удается предупредить только атаки на компании, которые заранее были защищены, причем как со своей стороны, так и со стороны провайдера.

«Тогда можно успеть переключить цифровой «тумблер». То есть, переключаешь его, - и вот у тебя активирована защита от DDoS. Но постоянно держать «тумблер» включенным не выгодно. Если же его нет, то за 10 минут предпринять что-либо невозможно», - отметил специалист.

Загрузка