Кто стоит за массовыми атаками на сайты российских медиаресурсов

Пока московская оппозиция только готовилась к митингу на Болотной площади, в Рунете уже вовсю развернулись «военные» действия. В разгар публичного обсуждения результатов выборов и демонстраций хакер­ским атакам подверглись крупнейшие столичные медиаресурсы. Среди них оказались «Живой журнал», сайты радиостанции «Эхо Москвы», газеты «Коммерсантъ», журналов The New Times и «Большой город», интернет-ресурс «Слон». РБК daily попыталась разобраться в том, легко ли организовать хакерскую атаку подобного масштаба, кто стоит за такими акциями и во сколько могут обойтись сутки бездействия сайта популярной газеты.

КАК ЗАКАЗАТЬ DDoS

Прекратить работу любого популярного сайта можно при помощи DDoS-атаки (или Distributed Denial of Service) — это использование множественных запросов с различных компьютеров к одному и тому же ресурсу. Запросы выполняют не люди, а компьютеры, зараженные одним и тем же вирусом. В результате сайт-жертва просто не выдерживает объема посетителей и выдает так называемый отказ в обслуживании. Хакеры, которые организуют подобные атаки, в настоящее время преследуются по закону.
Однако, как выяснила РБК daily, контакты профессионалов в этой области можно найти, сделав простейший запрос «заказ DDoS» или «DDoS-сервис» в любом поисковике, будь то «Яндекс» или Google. Как правило, в качестве контактной информации хакеры указывают номера ICQ, по которым можно получить дополнительную консультацию относительно стоимости заказа и сроков исполнения.

РБК daily просила организовать атаку на ресурсы www.rbcdaily.ru и www.vedomosti.ru c 9 декабря сроком на пять суток. Как выяснилось, прайс-листы в зависимости от DDoS-сервисов очень разнятся. В одной из служб предложили «уложить» оба сайта «тысяч за десять долларов». В другом сервисе сообщили, что услуга стоит первые сутки 100 долл. за оба сайта. «Потом, если они начнут сопротивляться, бегать по серверам, фильтровать файерволами, пользоваться анти-DDoS-услугами или раздувать шумиху, цена может немного вырасти. Если все будет спокойно, то так и останется», — сообщил оператор сервиса. При очень сильной шумихе, пояснили РБК daily, цена составляет 200—220 долл. за сутки. Еще одна служба, предлагающая свои услуги DDoS, назначила следующие расценки: 1000 долл. в сутки за один ресурс.
«Был бы интернет-магазин, стоило бы еще дешевле», — пояснили в одном из сервисов. Именно сайты интернет-магазинов, как правило, атакуют при помощи DDoS. Заказчики в таких случаях — чаще всего ближайшие конкуренты.

Оплата подобных услуг происходит посредством использования электронных кошельков, как правило WebMoney. Это гарантирует и исполнителю, и заказчику анонимность. А вот гарантий выполнения заказа никто заранее не дает. Один из сервисов предложил использовать следующую схему работы: заказчик перечисляет на счет исполнителя небольшой задаток, затем хакеры «кладут» ресурсы на 30 мин., а уже после происходит доплата. Доплату также можно производить не целиком, а перечислять деньги за каждые следующие сутки.

Кто «положил» ЖЖ и сайт ЦИК

РБК daily удалось связаться с человеком, который называет себя организатором атаки на «Живой журнал». Он не назвал своего имени, но в разговоре, который проходил по Skype, сообщил, что атака была организована при помощи ботнета под названием СССР. «Этот ботнет создавался группой хакеров, которые действовали по собственной инициативе. Все они выходцы из СССР, но на данный момент не проживают в России. Именно поэтому ботнет и получил такое название. Нашей целью было опробовать ботнет, который затем мы выставили в открытую продажу: теперь им может воспользоваться любой, кто готов заплатить 500 долл. В результате удалось на полтора часа «положить» ЖЖ. Все, что происходило затем, — это технические проблемы самого ресурса», — настаивает собеседник РБК daily.
Источник сообщил, что команде из трех человек понадобилось всего 500 ботов для того, чтобы нейтрализовать ресурс. «Для сравнения, чтобы «положить» «ВКонтакте», по нашим оценкам, нужно не менее 200 тыс. ботов. Именно поэтому до сих пор никто из хакеров этого не смог сделать: нужна кооперация, которой среди тех, кто организует DDoS в России, нет», — рассказывает собеседник РБК daily.

Представитель SUP Илья Дронов не берется судить о причинах атаки, однако говорит, что ЖЖ атаковали в течение нескольких дней. Он не сомневается в мощности собственной сети. «Мы работаем на собственных серверах, они находятся в штате Монтана, за границей», — говорит г-н Дронов. По его словам, руководство «Живого журнала» готовит документы для того, чтобы передать их в МВД и расследовать дело.
В день выборов были атакованы также и официальные сайты ЦИК и «Единой России». Источник РБК daily нашел тех, кто утверждает, что организовал их. «Это одиночки, которые выражают таким образом свою гражданскую позицию, — говорит один из источников РБК daily — У хакеров тоже есть принципы. Кто-то приходит на площадь, кто-то укладывает сайт «ЕдРа». Вы очень удивитесь, но это простые ребята, которые таким образом выражают свое мнение, сидя на кухне в трусах и попивая пиво».
При чем тут «Голос»?

Создатель «Антивируса Касперского» Евгений Касперский уверен, что многие сайты, работа которых была приостановлена, пострадали от большого количества посетителей. «Не исключен сценарий, что перегретые политической жизнью граждане с активной позицией «закликали» раскрученные политизированные сайты. То есть эти ресурсы вполне могли стать жертвой своей популярности (кстати, с нами самими пару раз такое тоже случалось). Лечится это увеличением бюджета IT-подразделений и переводом сайта на более тол­стый канал, на «железо» получше, а еще лучше — побольше «зеркал» в разных регионах», — написал в своем личном блоге г-н Касперский.
Однако участник одной из московских хакерских групп говорит, что если DDoS ЖЖ не имел политических мотивов, то атака на сайты медиаресурсов, в том числе The New Times, «Большого города», «Ридуса» и «Слона», «очень похожа» на спланированную акцию. «Скорее всего, это одно из молодежных движений типа «Наших». По крайней мере если «политические» заказы и поступают, то чаще всего от подобных групп», — говорит источник.
Пресс-секретарь «Наших» Кристина Потупчик категорически отрицает причастность организации к DDoS-атакам и пригрозила РБК daily судебным разбирательством в случае упоминания «Наших» в связи с DDoS-атаками.

Гендиректор «Слона» Максим Кашулинский предполагает, что последняя DDoS-атака может быть связана с поддержкой ряда медиаресурсов проекта «Голос». «Мы точно знаем, что это не технические проблемы. Атака шла с компьютеров, расположенных в Индии и Пакистане. В момент атаки роста числа пользователей не было», — поясняет г-н Кашулинский. Главный редактор «Эха Москвы» Алексей Венедиктов рассказал, что сайт радиостанции также был атакован в основном с ПК, расположенных за рубежом. В списке стран, из которых приходили запросы, также значатся Пакистан и Индия. «Кроме того, это были компьютеры из США, Франции, Бразилии», — констатирует он. Г-н Вендиктов предполагает, что атака не была непосредственно связана с «Голосом», но была направлена на те ресурсы, которые публиковали свидетельства фальсификации выборов, прошедших накануне 4 декабря. Главный редактор «Большого города» Филипп Дзядко говорит, что ему неизвестны технические подробности, связанные с атакой на ресурс «Большого города». «Однако я не сомневаюсь в том, что это спланированная акция. Атака впервые произошла в тот момент, когда мы начали публиковать свидетельства фальсификации на выборах. Кроме того, в понедельник, когда атака продолжилась, мы публиковали информацию о митинге, проходившем в Москве», — говорит г-н Дзядко.