Кибервойна против "ЖЖ" – третья атака

  • 6 апреля 2011
Image caption Третья ddos атака на "Живой журнал" 6 апреля началась в 10 утра и продолжалась до вечера

Популярный в России блог-сервис LiveJournal в третий раз за последние недели подвергся кибератаке. О том, кто стоит за этим нападением, какие цели преследовали его заказчики, не могут точно сказать ни эксперты, ни сами пользователи "Живого журнала".

Онлайн-дневники не были доступны ни владельцам, ни посетителям в среду в течение всего рабочего дня. Как сообщила руководитель LiveJournal Russia Светлана Иванникова, ddos-атака началась около 9:50 по московскому времени. Но перебои с доступом возникали и на несколько часов раньше.

По словам Иванниковой, в среду сайт "Живого журнала" был атакован с компьютеров, располагающихся в Китае, Йемене, Южной Корее, Индии, Пакистане, Японии и странах бывшего СССР.

Разные атаки

Первая ddos-атака произошла 26 марта, вторая - 4 апреля. Обе они, как утверждают специалисты "Лаборатории Касперского", проводились силами одной сети - группы компьютеров, зараженных одним вирусом и действующих по одному приказу.

Такие группы называются "ботнеты". В случае ddos-атаки по сигналу, который отправляется через интернет, они начинают просто обращаться к определенному веб-сайту, и когда число обращений превышает технические возможности сервера, он "виснет".

Сколько компьютеров участвовало в этой атаке, специалисты сказать не могут. По некоторым данным, число обращений к серверам, на которых располагается LiveJournal, могло превышать его возможности по их обработке почти в 20 раз.

По словам главного антивирусного эксперта "Лаборатории" Александра Гостева, первые две атаки производились силами одной сети, но та, которая состоялась в среду, отличалась по методу, и проводил ее другой ботнет.

"Тот факт, что, скорее всего, атака осуществлялась сразу через несколько ботнетов, подтверждают события сегодняшнего дня, - сказал Гостев в интервью bbcrussian.com. - Мы слышим, что на LiveJournal происходят очередные атаки, но вот тот ботнет, за которым мы наблюдали последние две недели, сегодня безмолвствует. На него команды от злоумышленников не поступали".

Кроме того, как рассказывают другие специалисты, первые две атаки тоже отличались между собой по технологиям обращения к серверам.

Объекты нападения

Другой эксперт "Лаборатории Касперского", Мария Гарнаева, написала в статье, опубликованной на сайте securelist.com, что первая атака была нацелена, в основном, на блог известного борца с коррупцией Алексея Навального, который расположен на сайте LiveJournal, на его проект "Роспил" и на еще один антикоррупционный ресурс - rutoplivo.ru.

Однако во время второй атаки хакеры уже нацелились сразу на 36 блогов и ресурсов в системе ЖЖ, причем общее у них фактически было одно: они все находятся на вершине рейтинга популярности.

О том, кто стал объектом атаки в среду, пока судить сложно. Так или иначе, но обе первые атаки были направлены на ресурсы "Живого журнала", за одним исключением - в первом нападении одной из целей стал также сайт мебельной фабрики "Кредо", не имеющей отношения к ЖЖ.

Версии

После первой атаки в ходе обсуждения ее в различных социальных сетях, возможно, самой популярной версией была попытка помешать интернет-активности борцов с коррупцией. Высказывалась также версия о желании неких сил предотвратить возможные попытки координации действий участников митинга 31 марта.

Когда же стало известно, что в ходе второго удара целями были выбраны журналы с самым разным содержанием, многие заговорили о стремлении заказчиков этого нападения нанести удар по "ЖЖ" в целом, ибо это весьма популярная дискуссионная площадка в Рунете.

"Сверхцелью всего этого является манипулирование аудиторией "ЖЖ", дабы ее размазать по другим социальным сетям и стендэлонам, где, понятное дело, бороться с отдельно взятым пользователем в сотни раз проще", - написал в своем блоге Илья Дронов, директор по развитию продуктов компании SUP, обслуживающей LiveJournal.

Между тем, как пояснил эксперт в области IT-технологий Александр Варской, на основе того, что известно о структуре трех кибератак на "Живой журнал", невозможно сделать однозначный вывод о том, с какой целью они были выполнены. Нельзя, по его мнению, отрицать предположение о том, что, атакуя сразу несколько блогов и даже сайтов, авторы атаки старались скрыть истинную, совершенно определенную цель, конкретный блог.

Наконец, кибератака просто могла быть совершена группой хакеров, желающих таким образом продемонстрировать свои возможности.

"Сначала была совершена серия ddos-атак на ресурсы Навального. Об этом написали в новостях, это создало проблему в "ЖЖ". Дальше все пошло по наклонной, - сказал Варской. - Другие люди, не преследуя каких-то целей, для игры, даже не для отвода глаз, начали задевать дневники посторонних людей".

При этом эксперт отмечает, что в разных атаках были использованы разные протоколы передачи данных, что может указвать на то, что действовали разные группы.

Александр Гостев также отметил тот факт, что атаки происходили против довольно разных по своему содержанию блогов: "Когда они атакуют сразу всех, понять, кто на самом деле им интересен, довольно сложно. С другой стороны, не исключено, что, начиная атаку десятков различных блогов, они надеются обойти технические средства защиты, которые "Живой журнал" реализовал для защиты от предыдущих атак".

В конце концов, считает он, хакерам могло показаться более простым вывести из строя весь ресурс целиком, чтобы выполнить задание - нападение на определенного блоггера.

Защита

Как заявила Би-би-си Светлана Иванникова, компания уже закупила новое оборудование для защиты от ddos-атак в будущем. Сразу после первых нападений, по ее словам, было закуплено и новое программное обеспечение, которое уже устанавливается.

"Никто не застрахован [от атаки], мы не можем предугадать, когда она может произойти, но мы можем обслужить то количество запросов, которое будет послано на серверы", - сказала она.

По словам Александра Гостева, сайт можно защитить от ddos-атак, все зависит лишь от того, сколько средств готова потратить та или иная компания на свою защиту.

"Если мы посмотрим на крупнейшие мировые сайты в сети интернет, они ведь не выходят из строя в результате ddos-атак. Но не потому что такие атаки на них не осуществляются. Просто система настолько хорошо функционирует и настолько дорого стоит, что вывести ее из строя невозможно", - сказал эксперт.

Расследование

Между тем многие критикуют компанию SUP за то, что ее представители не обратились в правоохранительные органы еще после первых атак. Тогда Светлана Иванникова сказала, что "не исключает такой возможности".

По мнению экспертов, действия хакеров вполне подпадают под действие 273 статьи российского уголовного кодекса "Создание, использование и распространение вредоносных программ для ЭВМ". Кроме того, по мнению известного журналиста Антона Носика, компания SUP, предоставляющая платные услуги многим блогерам, просто обязана была обратиться полицию.

"Уведомить полицию о совершённом преступлении - это первое и необходимое действие в данном случае, - написал Носик в своем блоге. - Если оно не выполнено после 10 суток непрекращающихся DDoS-атак, то неудобные вопросы по этому поводу должны в первую очередь задавать [...] мы, пользователи "ЖЖ", кровно заинтересованные в объяснении странного поведения администрации сервиса".

В среду в интервью Русской службе Би-би-си Светлана Иванникова заявила, что компания "очень активно и серьезно работает в этом направлении". Однако, призналась она, отвечая на другой вопрос, "я сомневаюсь, что мы выйдем на конкретного заказчика".

Об отсутствии возможности найти заказчика кибератаки говорят и многие эксперты. В конце концов, по их мнению, даже если бы удалось обнаружить исполнителей, то есть тех, кто отправлял сигнал зараженным компьютерам, они сами могли не знать, кто именно платил им деньги и указывал на ресурс, который было нужно атаковать.

Однако, как считает Александр Гостев, сообщить в полицию о произошедшем нужно было сразу - "исключительно для того, чтобы правоохранительные органы могли начать хоть какую-то работу в этом направлении".

Формальное обращение необходимо также и чтобы российские полицейские могли обратиться за помощью к коллегам из других стран. В том, что такая помощь может потребоваться, эксперт, учитывая географию зараженных вирусом компьютеров, которые атаковали "ЖЖ", не сомневается.

Новости по теме