Kто, как и зачем нападает на сайты
Совместно с некоммерческой организацией eQualitie, которая занимается защитой НКО в интернете и бесплатно предоставляет им сервис Deflect для противодействия DDoS-атакам, Дискурс запускает образовательный спецпроект о кибербезопасности.
В первом материале мы собрали истории одиннадцати самых ярких политических DDoS-нападений — от интернет-забастовок до информационных войн. И рассказываем, какую роль сыграли DDoS-атаки в войнах в Косово и Грузии, как на смену тысячам активистов пришли миллионы ботов, как пророссийские активисты почти отключили от интернета Эстонию, а проамериканские — полностью лишили Северную Корею доступа в сеть. А также о том, как чайники и радионяни лишали Америку Фейсбука, как всего 2000 писем положили почтовые сервера НАТО — и что надо предпринять, чтобы не стать жертвой хакеров.
DoS, Denial-of-Service, отказ в обслуживании — это тип кибератаки, при котором сервер забрасывается запросами или пакетами данных в колоссальном количестве, не успевает их обработать и, как следствие, замедляется или даже зависает, и тогда пользователи полностью теряют к нему доступ. DDoS, Distributed DoS — основной на сегодняшний день тип DoS-атаки, при котором нападе
1995. Strano Network против Франции: DDoS как активизм
Первая в истории интернет-забастовка прошла в 1995 году, когда итальянские активисты из Strano Network в знак протеста против ядерной политики французского правительства устроили DDoS-атаку на государственные сайты Франции.
Концепцию «сетевой забастовки» впервые предложил основатель и идеолог Strano Network, художник и активист Томмазо Тоцци ещё в 1989 году как часть концепции «Hacker Art». Однако впервые реализовать её на практике удалось лишь в 1995 году, когда Strano провели первую сетевую забастовку в знак протеста против испытаний Францией ядерных ракет на тихоокеанских островах, а также в целом против атомной политики республики.
Активисты призвали всех неравнодушных одновременно зайти на сайты Министерства иностранных дел, Министерства культуры, французского Агентства по ядерной энергетике и ежесекундно обновлять их. Ожидалось, что если активистов наберётся достаточное количество, то, из-за множества обращений, сервер начнёт замедляться, или даже зависнет и станет недоступным для пользователей, что привлечёт внимание к заранее обнародованным целям акции. «Забастовка» 21 декабря 1995 года продолжалась около часа, и на короткое время участникам удалось вывести атакуемые сайты из строя.
Уже первая известная DDoS-атака в истории интернета была формой политического протеста. При этом, действия протестующих были совершенно легальны — ведь в том, чтобы зайти на какой-то сайт и иногда обновлять страницу нет ничего незаконного. Но долго такая акция длиться не могла. Во-первых, потому что на всём протяжении «атаки» активисты должны были находиться у компьютера. Во-вторых, интернет в те времена был относительно дорогой, часто с почасовой оплатой, и за участие в акции приходилось платить из своего кармана. С тех пор технологии сильно ушли вперёд, однако интернет-забастовки в духе предложенной Тоцци по-прежнему активно применяются активистами всех идеологических направлений.
1998. EDT против Мексики: DDoS как политическое искусство
Чтобы привлечь внимание к жуткой резне в мексиканском штате Чьяпас, активисты арт-группы Electronic Disturbance Theater запланировали на 1998 год серию атак на сайты президента Мексики, Франкфуртской фондовой биржи и Пентагона.
В 1998 году примеру Strano Network последовала американская группа Electronic Disturbance Theater под предводительством художника Рикардо Домингеса. Своей акцией EDT надеялись привлечь внимание к факту массового убийства в мексиканском штате Чьяпаса, которое состоялась при попустительстве, если не поддержке властей.
Это произошло 22 декабря 1997 года. Участники парамилитаристской правой группы «Маскара Роха», вооруженные мачете и автоматами, окружили церковь, в которой собрались для молитвы участники пацифистской католической организации «Лас Абехас». Все собравшиеся в церкви были жестоко убиты: пятнадцать детей, девять мужчин и двадцать одна женщина, четверо из которых были беременны. По свидетельствам очевидцев, последних убивали с особой жестокостью.
Считалось, что «Макскара Роха» поддерживалась мексиканским правительством, так что ответственность за резню многие возлагали на президента Мексики Эрнесто Седильо. Часть убийц всё же арестовали. Но, вопреки показаниям свидетелей, Верховный суд Мексики постановил отпустить обвиняемых, ссылаясь на то, что следствие было проведено с нарушениями, а улики — сфабрикованы.
EDT пошла дальше группы Тоцци, они решили автоматизировать акции гражданского неповиновения и разработали FloodNet, — специальную программу, которая самостоятельно обновляла атакуемую страницу раз в несколько секунд.
Акции интернет-протеста EDT планировали проводить в течении всего года. Для привлечения участников, Домингес лично рассылал письма с призывами поддержать акцию — в назначенный день и час им предлагалось зайти на специальную страницу и запустить приложение.
Главная атака и связанная с ней пресс-конференция были запланированы в рамках фестиваля Ars Electronica. Это любимый хакерами, гиками и фанатами киберпанка ежегодный фестиваль науки и искусства, проходящий в австрийском городе Линце, где перформансы перемежаются строгими научными докладами. Об акции было объявлено заранее, а пресс-конференция EDT была внесена в официальную программу фестиваля.
Тем утром у Домингеса зазвонил телефон, и голос на том конце провода коротко сообщил ему по-испански: «Мы знаем, кто вы». Однако, не смотря на эту угрозу, акция началась по плану — в назначенный час порядка 10,000 пользователей из Италии, Японии, Малайзии и других стран торпедировали трафиком сайты президента Седильо, Пентагона и Франкфуртской фондовой биржи. Среди участников «забастовки» оказались даже пользователи с компьютеров американских образовательных и военных учреждений.
К удивлению активистов, в Пентагоне к акции оказались готовы. После первых минут, когда логи атакуемых сайтов стали наполняться чередой сообщений вроде «truth not found» и «justice not found» (FloodNet запрашивал у серверов документы «truth» и «justice», соответственно), большинство запросов активистов стали уходить вникуда, а компьютеры участников начали выдавать ошибку за ошибкой. Широко анонсированная яркая художественно-политическая акция фактически провалилась.
Тем не менее, в течении года EDT продолжила свои «онлайн-забастовки», список атакуемых сайтов расширялся, и в конце концов активистов заметили не только тематические издания вроде Wired, но даже The New York Times, которая посвятила им большой материал. Под Новый год активисты выложили приложение в открытый доступ, и впоследствие им пользовались уже другие группы. Например, с его помощью в 2001 году прошла онлайн-демонстрация против участия авиакомпании Lufthansa в депортации нелегальных иммигрантов из Германии. В отличии от участников EDT, организатор этого протеста впоследствии был арестован и приговорен к выплате штрафа.
Как и акция Strano, «забастовка» EDT — это пример размывания границы между остросоциальным политическим искусством и хакерством. Именно художники и политические активисты создали первый автоматизированный инструмент для DDoS, который стал и первым общедоступным инструментом для проведения цифровых забастовок. Кроме того, по-видимому, именно после акции EDT власти стали относиться к подобным атакам всерьёз. Переадресация хакерских запросов и теперь является важным инструментом защиты от DDoS, однако инструменты защиты усложнились не меньше, чем инструменты нападения.
1999. Цифровой фронт войны в Косове: DDoS как борьба с интервенцией
Война в Косово, конец которой положила бомбардировка Белграда силами НАТО, стала первой войной, в которой партизанские боевые действия в интернете были столь же ожесточенными, как и противостояние на настоящем театре военных действий.
После интервенции сил НАТО в Югославию, а особенно с началом бомбардировок Белграда, сербские хакеры стали активно атаковать сайты различных ведомств стран альянса. Они требовали прекратить бомбардировки и в целом прекратить «гуманитарную войну» в республике, предполагая, что взломами смогут «сорвать военные операции НАТО».
Хакеры из группировки Black Hand использовали т. н. «пинг-шторм» — DoS-атаку посредством запросов, которые обычно используют для проверки целостности и качества соединения с сайтом. Если послать их в значительном количестве, то ими, как и любыми другими запросами, можно (в теории) нарушить работу сайта. Впрочем, серьёзных проблем, по утверждению США, эта атака не принесла.
Тем временем, косовские албанцы атаковали сербские и просербские сайты и рассказывали с их страниц о «зверствах» сербских военных. «Освободите Косово!» — взывала Kosovo Hackers Group со страниц взломанных сайтов. Ответные взломы со стороны сербов были призваны «искоренить албанскую ложь».
Когда из-за ошибки в наводке от натовских бомбардировок пострадало посольство КНР в Белграде, к атакам присоединились и китайские хакеры. Вступившим в войну китайцам удалось на три дня вывести из строя сайт американского Белого дома. А перед тем, как заддосить, они взломали сайт, и разместили на его главной странице требование: «Остановите войны! Занимайте своими проблемами. Ничего не пострадало, но мы вам не расскажем, как проникли в систему».
В противостояние вовлекались и представители других стран: так, хакеры голландской группы Dutchthreat, возмущенные сообщением на югославском сайте о том, что НАТО — это банда фашистов, взломали его и заменили соответствующую страницу своим призывом: «Спасите Косово!»
Основной почтовый сервер НАТО смог парализовать один единственный пользователь, отправляя на него по 2000 писем в день. Не в секунду, всё верно, — в день! Похоже, почтовый сервер НАТО был довольно древним и беззащитным. Кроме того, из-за действий хакеров было уничтожено некоторое количество данных на компьютерах НАТО. Видимо, среди натовских клерков в то время не проводилось никакого инструктажа по вопросам кибербезопасности — они смело открывали заражённые.doc- и.xls-файлы, приложенные к каким-то непонятным письмам. Ну, а администраторы внутренних сетей организации, в свою очередь, от чего-то не отключили пользователям возможность запуска скриптов в офисных приложениях.
Информационное противостояние косоваров и сербов показало, как война может выглядеть в интернете и что существенный ущерб в ней могут нанести даже независимые одиночки. Мировая общественность узнала, насколько уязвимы могут быть информационные системы даже крупнейших держав, если их регулярно не обновлять и не инструктировать сотрудников по вопросам базовой кибербезопасности.
2007. «Наши» против Эстонии: DDoS как пионерство
Представители российских провластных молодёжных движений вслед за официальной Москвой были возмущены переносом эстонского памятника Воину-освободителю из центра Таллина на военное кладбище. Одновременно с информационной кампаний в интернете (перенос активисты называли «кощунством») и серией уличных акций, на сайты изданий, банков и ведомств Эстонии обрушился шквал DDoS-атак.
Судьба таллинского Бронзового солдата была неопределённой с начала 1990-х: часть эстонцев считало его символом советской оккупации, другая, прежде всего русскоязычная, продолжала воспринимать его символом победы над нацизмом. В апреле 2007 года власти Эстонии приняли окончательное решение о переносе памятника, что спровоцировало дипломатический скандал между Россией и балтийской страной: российский МИД вручил послу Эстонии ноту, в которой обвинял власти балтийского государства в ревизионизме.
Демонтаж монумента в ночь с 26 на 27 апреля 2007 года повлек за собой массовые волнения в Таллине и других городах Эстонии. В протестах участвовали, в основном, русскоязычные жители страны.
Мощные DDoS-атаки, которым подвергся эстонский интернет лишь подогревали протест. Население Эстонии, которая на тот момент считалась едва ли не самой интернетизированной в мире, почти три недели периодически оставалось без доступа к государственным ресурсам, онлайн-изданиям, сайтам банков и организаций.
Ботнеты бомбардировали эстонские сервера письмами, а также перегружали их запросами. DDoS-атаке подверглись не только интернет-ресурсы, но даже телефоны эстонских министерств и ведомств: на них поступал шквал автоматических звонков, из-за чего дозвониться по этим номерам эстонцы не могли.
10 мая крупнейший на тот момент банк Эстонии Hansabank был вынужден приостановить операции по международным картам и отключить все свои интернет-сервисы. Из-за атаки банк потерял около 10 миллионов евро.
19 мая DDoS-бомбардировки прекратились — возможно, просто потому, что большинство граждан страны фактически оставили попытки использовать интернет, а все процессы на некоторое время вернулись в офлайн. Вероятно, это можно назвать своего рода победой атакующей стороны.
Власти Эстонии обвинили в нападении Кремль: часть атак шла с российский IP-адресов. «IP-адреса подделаны», — невозмутимо парировал обвинения пресс-секретарь президента России Дмитрий Песков. В 2009 году комиссар движения «Наши» Константин Голоскоков признал, что атаку на эстонские сервера организовал он и его соратники. По словам Голоскокова, это была частная инициатива и «классическая акция гражданского неповиновения». И, хотя он не был осужден за организацию DDoS-атаки, после этого инцидента Голоскокову был запрещён въезд в ЕС и США.
В докладе Elliott School of International Affairs атаки против эстонских сайтов называют «первой мировой кибервойной». Эти события показали, что Россия способна выступать агрессором в цифровом пространстве. Об этом факте особенно часто стали вспоминать в свете скандалов вокруг американских президентских выборов 2016 года.
Спустя год после атаки в Эстонии был создан Центр передового опыта в области киберзащиты НАТО. В следующие несколько лет возникает всё больше компаний, целенаправленно предоставляющих защиту от DDoS частным лицам и организациям, — так, например, в 2009-м возникает Cloudflare, а в 2010 году — eQualitie.
2008. Война в Грузии: DDoS как оружие
В ходе конфликта на территории Южной Осетии пророссийские хакеры вновь поддержали позицию официальной Москвы. Их грузинские коллеги не оставались в долгу — стороны пытались заглушать новости друг друга с помощью DDoS-атак. Пострадали и сайты властей — как грузинских, так и осетинских.
Военный конфликт в Южной Осетии и Абхазии спровоцировал ожесточённые военные действия и в киберпространстве. Интернет-издания Осетии и Грузии начали подвергаться сериям взаимных DDoS-атак ещё в конце июля, за несколько недель до обострения военной ситуации в Цхинвали и ввода российских войск на территорию Южной Осетии.
Прогрузинские хакеры пытались обрушить сайты, описывающие конфликт с точки зрения Южной Осетии и России, а пророссийские активисты бомбили грузинские СМИ и правительственные ресурсы. Специалисты компании Arbor Networks обнаружили в потоке данных запросы со строкой: «win+love+in+Rusia».
К 8 августа взаимные кибератаки закономерно достигли своего пика. Из-за DDoS-атак МИДу Грузии пришлось создать временный блог на сервисе Blogger, а переставший работать сайт президента Грузии Михаила Саакашвили был перенесен на американские сервера. В свою очередь, прогрузинские хакеры вывели из строя сайт Госкомитета по информации и печати Южной Осетии, а также сайты некоторых российских СМИ — в частности, пострадали РИА «Новости» и телеканал RT.
9 августа неравнодушных стали приглашать к участию в DDoS-атаке на Грузию: по адресу Stopgeorgia.ru была опубликована подробная инструкция, как это сделать, опубликован список целей и необходимые приложения. Специалисты выявили по крайней мере шесть различных ботнетов, которые бомбардировали грузинские сайты. Вечером на главной странице грузинского МИДа хакеры повесили коллаж из фотографий Адольфа Гитлера и Михаила Саакашвили.
Грузия обвинила Россию в развертывании широкомасштабной кибервойны. Эксперты, опрошенные The New York Times, не сомневались в том, что за атаками на грузинские сайты стояли российские власти, и отмечали, что впервые в истории государство начало спецоперацию в интернете одновременно с началом военного наступления.
В причастности к атаке на грузинские сайты ряд экспертов обвинял группировку Russian Business Network из Санкт-Петербурга, за которой числится ряд киберпреступлений — от изготовления вирусов и кражи приватной информации до распространения детского порно. Прямых доказательств, что за кибератаками на Грузию стоит непосредственно Кремль, экспертам обнаружить не удалось.
В 2018 году «Медуза» со ссылкой на «нескольких русскоязычных хакеров» утверждала что атака была всё-таки частной инициативой. Но именно после осетинской войны 2008 года российские спецслужбы обратили внимание на «патриотически настроенных хакеров». «С тех пор их привлекают к работе регулярно, иногда добровольно, иногда принудительно: под угрозой уголовных дел», — писало издание.
Ситуация в Грузии продемонстрировала, что DDoS-атаки могут стать полноценной частью военной кампании. Как и в случае с войной в Косово, интернет-фронт, по-видимому был стихийным, однако в результате событий 2008 года спецслужбы России стали серьёзно относиться к этому дешёвому, но эффективному инструменту информационного противостояния.
При этом, как правило, даже эксперты не могут убедительно доказать, что атака поддержана бюджетом целого государства, а не держится на голом энтузиазме активистов. К тому же, создатели ботнетов и непосредственные авторы нападений, как мы увидим ниже, далеко не обязательно одни и те же люди. Дешевизна и сложность отслеживания делают DDoS-атаки особенно выгодными для информационных войн.
2011. Anonymous против всех: DDoS как новый мировой порядок
До начала Арабской весны акции анонимных хакеров, выходцев с легендарной имиджборды 4chan, были в меньшей степени политическими, а в большей — троллингом и хулиганством. Однако в 2011 году они стали представлять собой реальную политическую силу.
Часто для простоты про Anonymous пишут как про «хакерскую группу», но это не вполне верно: вернее будет сказать, что это проактивное крыло интернет-субкультуры, возникшей вокруг имиджборды 4chan. Ранняя хакерская деятельность Анонимов была в первую очередь родом троллинга — в частности, в 2008 году они весело воевали с саентологами. Черты идеологии у движения появились в 2010-м, когда Анонимы объявили «Операцию Расплата» против голливудских студий, которые, как тогда выяснилось, для борьбы с пиратством платили большие деньги за DDoS-атаки на сайты, нарушавшие, по их мнению, авторские права (так, под удар попал легендарный шведский торрент-трекер The Pirate Bay). Впрочем, до поры это всё были нишевые новости.
Роль Анонимов изменилась с началом череды революций в арабском мире. В январе 2011 года во время революции в Тунисе выходцы из 4chan предоставили тунисцам скрипты, позволяющие уходить от государственной слежки, силами местных хакеров разместили политическое заявление на сайте Премьер-министра страны и подвергли серии DDoS-атак государственные сайты Туниса. Чтобы защититься от атаки, власти закрыли доступ к сайтам из-за границы. Местная полиция, в свою очередь, провела серию арестов блогеров и интернет-активистов.
В том же году активисты вывели из строя сайт испанской полиции после того, как ею были задержаны участники предполагаемого «ядра группировки». А в 2012-м, в знак протеста против закрытия файлообменника Megaupload и ареста четырех его сотрудников, Anonymous атаковали Министерство юстиции США, управление авторского права, ФБР, сайты ассоциаций правообладателей RIAA и MPAA, компаний CBS и Universal Music. Позже выяснилось, что Анонимам удалось не только положить сайт американского Минюста, но и украсть почти два гигабайта документов с серверов ведомства, которые они обнародовали вскоре после атаки.
Властям ряда стран досталось от хакеров за подписание Международного соглашения по борьбе с контрафактной продукцией (ACTA). Anonymous вывели из строя сайты президента Франции, польского Сейма, канцлера Австрии, а также сайты министерств и ведомств других государств, подписавших антипиратское соглашение.
В марте 2012 года Anonymous дважды атаковали официальный сайт Ватикана. Активисты утверждали, что DDoS был направлен не против католиков, а против коррумпированного института католической церкви. Кроме того, по разным поводам атакам подверглись правительственные сайты Кипра, Мьянмы и штата Квебек. В том же году они атаковали ряд ресурсов неонацистских группировок.
Одна из самых скандальных заявок Анонимов обернулась пшиком: в 2013 году в день памяти жертва Холокоста активисты пообещали стереть Израиль из интернета и анонсировали серию DDoS-атак на правительственные сайты, банки и СМИ. Однако специалистам удалось отразить большую их часть — ресурсы если и уходили офлайн, то лишь ненадолго. Произральские хакеры, в свою очередь, ответили взломами ряда сайтов Anonymous. Операцию «Израиль» назвали самым большим провалом хакерской группировки.
В 2015-м под лозунгом борьбы с расизмом Анонимы совместно с группой The Ghost Squad атаковали страницы Ку Клукс Клана и предали огласке имена более тысячи его сторонников. Годом позже хакеры дали понять, что не приемлют расизма, от кого бы он не исходил: они устроили длительную атаку на сайт движения BlackLivesMatter, заявив, что будучи солидарными с идеями движения в целом, они возмущены расизмом ряда участников в отношении белых и будут атаковать BLM всеми доступными способами, пока движение не очистится от расизма. За заявлением последовали DDoS-атаки. Чтобы защититься от них, BlackLivesMatter обратились к помощи специалистов Deflect. Атакующий ботнет состоял не только из инфицированных компьютеров, но и зараженных сайтов на базе движков WordPress и Joomla. Атаки продолжались почти полгода, и в пике число подключений к сайту BlackLivesMatter могло достигать 34 миллионов в сутки — но, благодаря грамотной защите, сайт движения не падал в эти месяцы ни на минуту.
В последние годы Анонимы всё реже попадают в новостные заголовки, хотя исправно продолжают производить воззвания и манифесты.
Anonymous показали новую форму самоорганизации общественно-политической жизни и новую, современную систему политических координат, в которой, уравновешивая друг друга, уживаются не левые и правые, но этические и иронические.
Предложенная Anonymous конструкция — это ещё и новая структура киберугроз: кто угодно может под флагом известных борцов за справедливость атаковать вас — и, вполне возможно, будет поддержан их сторонниками.
2011. Вертикаль против наблюдателей: DDoS как удержание статус-кво
В ходе парламентских выборов прокремлёвские активисты глушили работу сайтов, которые рассказывали о нарушениях. Волне DDoS-атак на независимые издания предшествовала многолетняя череда взломов «живых журналов» оппозиционных политиков и популярных блогеров, как связанных с политикой, так и нет.
За несколько дней до выборов в Государственную думу, назначенных на 4 декабря 2011 года, неизвестные с помощью DDoS-атак вывели из строя главную блог-платформу русскоязычного интернета — «Живой журнал», который к началу десятых годов на фоне огосударствления медиа стал основной площадкой общественно-политических дискуссий. Администрации сервиса удалось быстро восстановить к нему доступ, но вечером накануне выборов Livejournal снова подвергся серьёзной атаке.
Интернет-деятель Антон Носик, в то время — медиадиректор компании SUP Media, владевшей ЖЖ, также не сомневался в политической подоплёке атаки: «Начавшийся с понедельника сеанс предвыборной DDoS-атаки Живого журнала продолжается без перерывов на обед и полдник. На эту минуту серверы ЖЖ долбят мусорными запросами со скоростью 12–15 Гбит/с. […] Цель атакующих понятна. Это банальная советская „глушилка“, и задача у нее та же самая: предотвратить неподконтрольный обмен информацией ». При этом по мнению медиаменеджера атаку на ЖЖ проводило «не государство, а группа уголовников».
В день выборов, практически с самого утра и до позднего вечера, под ударом находились сайты радиостанции «Эхо Москвы», телеканала «Дождь», ассоциации «Голос», которая занимается мониторингом нарушений на выборах. Весь день с перебоями работали «Живой журнал», сайты «Новой газеты», «Коммерсанта» и других изданий. Один только Slon.ru бомбардировали от 200 000 до 250 000 ботов. По мнению главы правозащитной группы «Агора» Павла Чикова, ботнет атаковал именно те СМИ, чьи журналисты работали на избирательных участках, а также сайты, которые разместили ссылку на интерактивную «Карту нарушений».
«Глушилка» не переставала работать и по окончании выборов: вторая волна атак была призвана помешать распространению информации о митингах и уличных протестах, которые начались после выборов. Руководители пострадавших СМИ требовали от правоохранительных органов расследовать атаки, однако злоумышленники так и не были найдены и наказаны.
Впрочем, пострадали не только «оппозиционно настроенные» ресурсы: в день выборов неизвестные пытались глушить сайты «Единой России» и ЦИКа. ЦИКу удалось отразить нападение, но сайт «ЕР», как и сайт движения «Наши», из-за атак несколько дней работал с перебоями.
Вывод из строя сайтов заметной части крупных независимых медиа в день выборов в России наглядно показал, что с помощью DDoS-атак технически более обеспеченная и мобилизованная сторона может глушить распространение нежелательной для неё общественно-важной информации.
Атака на «Живой журнал» стимулировала энергичный рост российского сегмента Фейсбука, который, при всех своих минусах, оказался в техническом плане более надёжной платформой и стал основным местом острых общественно-политических и культурных дискуссий на следующее десятилетие. Вместе с этим стало очевидно, что при риске DDoS-атак имеет смысл дублировать информацию на популярные социальные платформы — тогда, чтобы заглушить её, атакующим придется иметь дело с гигантскими ресурсами богатейших транснациональных корпораций.
2013. Иран против iPOS: DDoS в ответ на популярность
В 2013 году во время президентских выборов в Иране едва ли не единственной компанией, независимо отслеживающей мнения избирателей стала американская iPOS, расположенная в Маклейне, Вирджиния недалеко от штаб-квартиры ЦРУ. На данные её опросов из Ирана ссылались ведущие мировые медиа. Сайт компании был очень популярен среди иранцев, а с приближением выборов его всё активнее стали атаковать неизвестные хакеры.
В 2013 году подошёл к концу второй президентский срок Махмуда Ахмадинежада, шестого президента Ирана, снискавшего особенно скандальную репутацию на Западе: исламист и консерватор, он отрицал Холокост и делал ставку на ускоренное развитие ядерной программы, одновременно сворачивая большую часть либеральных начинаний своих предшественников. Избираться на третий срок Ахмадинежад не мог, так что выборы могли принести стране серьёзные изменения. В отсутствии независимых поллстеров в стране, основным источником социологических данных для заинтересованных иранцев и мировых СМИ стал сайт американской исследовательской фирмы iPOS (Information and Public Opinion Solutions LLC).
Не удивительно, что вскоре он подвергся серьёзным DDoS-атакам. Нападение было столь сильным, что Cloudflare и ныне покойный сервис Google Pagespeed не смогли защитить iPOS, и были вынуждены отказаться от работы с ними — поток злонамеренного трафика был слишком велик и это могло стать угрозой для других их клиентов. Тогда социологи обратились в Deflect, для которых отражение такой мощной атаки стало испытанием для технологий и специалистов.
Наиболее серьёзным ударам сайт iPOS стал подвергаться в ночь выборов. Атака шла при помощи нескольких ботнетов — но сложнее всего было отделить вредоносный трафик от обычных посетителей. iPOS был единственным негосударственным источником данных об экзит-полах, так что заинтересованные иранцы нетерпеливо обновляли его страницы в ожидании новостей. Трафик достигал 70 Гбит/c — и, видимо, рос дальше, но приложение мониторинга перестало справляться и отдавало некорректные данные. Не смотря на постоянную и мощную атаку, даже в самые тяжёлые три дня вокруг выборов сайт был недоступен лишь несколько минут, другие клиенты Deflect при этом не пострадали.
Президентом Ирана стал Хасан Рухани, юрист и богослов, выпускник Тегеранского университета и Каледонского университета в Глазго. В мае 2017 года он был избран на второй срок. Но в ходе масштабных антиправительственных выступлений зимы 2017-2018 среди главных лозунгов звучало: «Смерть Рухани».
Свалившаяся популярность — это не только приток аудитории, заинтересованной вашим проектом. Это и растущие риски оказаться целью злоумышленников. Иногда просчитать, что именно привлечёт внимание медиа и посетителей невозможно, но можно оценить риски заранее. В любом случае, важно по-возможности иметь более одного инструмента защиты под рукой.
А для компаний, предоставляющих услуги по защите важно, чтобы инфраструктура была устроена так, чтобы атакуемые сегменты защитной сети можно было изолировать, чтобы даже самое серьёзное нападение не затрагивало других клиентов.
2014. КНДР is Offline: DDoS как ультиматум
В результате атаки проамериканских хакеров КНДР лишилась и без того скудного доступа во Всемирную паутину. Этот DDoS стал ответом на взлом сайта компании Sony Pictures Entertainment, дистрибьютора фильма, который высмеивал северокорейского лидера.
В 2014 году долгострой Сета Рогена и Эвана Голдберга, комедийный боевик «Интервью» должен был вот-вот выйти на экраны. Герои фильма, которых сыграли Роген и Джеймс Франко, по сценарию приезжают в Северную Корею взять интервью у Ким Чен Ына, а в действительности — для того, чтобы устранить его по заданию ЦРУ.
Из-за протестов со стороны КНДР, выход картины многократно откладывался, а фильм несколько раз перемонтировали, чтобы сгладить острые углы. Но представители Северной Кореи продолжали настаивать на том, что фильм не должен выйти в прокат. Когда стало понятно, что премьера не будет отменена, в дело вступили хакеры.
24 ноября группа, называющая себя Guardians of Peace объявила о взломе серверов Sony Pictures, дистрибьютора картины. Перед тем, как удалить большое количество информации с серверов компании, хакеры выкачали из корпоративной сети Sony немало данных — в том числе контакты всех сотрудников, копии трёх невышедших фильмов и обширную внутреннюю переписку с участием кинозвёзд, знаменитых режиссеров и продюсеров. Злоумышленники утверждали, что выкачали чуть ли не 100 терабайт корпоративной информации, однако в публичный доступ было выложено всего пара гигабайт.
ФБР заявила, что это было самое крупное хакерское вмешательство в компьютерные системы США, и утверждало, что за атакой стоит непосредственно Северная Корея. Руководство КНДР, разумеется, причастность к нападению отрицало. Белый дом, однако, пообещал симметричный ответ.
В конце декабря 2014 года эксперты Dyn Research заметили, что северокорейские интернет-узлы недоступны. 19–21 декабря из-за DDoS-атаки доступ во всемирную паутину из Северной Кореи просто барахлил, а 22 декабря вся немногочисленная северокорейская интернет-аудитория страны в одночасье лишилась доступа в сеть.
Собственно, вся северокорейская подсеть на тот момент состояла из немногим более 1024 IP-адресов, все или почти все подключенные устройства при этом находились в Пхеньяне, а доступ в Интернет республике обеспечивал всего один кабель китайского провайдера China Unicom пропускной способностью не более 10Гб/с. При этом в северокорейском сегменте интернета, по сообщениям, имелось всего порядка 30 сайтов.
Разумеется, рядовые жители КНДР не почувствовали проблемы, поскольку доступ к интернету имеют только представители партийной элиты, спецслужб, некоторых ведомств, университетов, научных организаций и сотрудники иностранных посольств и фирм.
В общем, чтобы оставить страну без всемирной сети, потребовался поток данных объёмом всего 6 Гбит/с. Блокаут длился 9,5 часов. Подозрение, разумеется, пало на США, а очевидной причиной атаки называли действия GoP, которые не только взломали сеть Sony Pictures, но и угрожали терактами в тех американских кинотеатрах, которые отважатся показать «Интервью».
В 2017 году стало известно, что теперь за бесперебойный доступ Северной Кореи к интернету отвечает российский оператор «Транстелеком».
Это первый случай в истории, когда в результате DDoS-атаки доступа в интернет лишилась целая страна. И, хотя добиться подобного результата, по-видимому, было не так сложно, это сюжет с далеко идущими последствиями: и корни проекта закона о «суверенном интернете», который разрабатывают российские власти, следует искать именно здесь.
2014. Китай против Гонконга: DDoS как спецсредство
В ответ на выступления с требованием прямых выборов главы администрации Гонконга, китайские власти вывели на улицы ОМОН, а сайты народного референдума по этому вопросу и местных независимых изданий подверглись мощнейшей DDoS-атаке, которая затронула и многие другие местные интернет-ресурсы.
В 1997 году, когда Британия передавала Гонконг Китаю, Пекин обещал, что в создаваемом вокруг города Специальном административном районе, не в пример остальной стране, будут проводится полноценные прямые выборы главы региона. Однако власти не спешили реализовывать обещание: к 2013 году кандидатов по-прежнему отбирали в Пекине, а голосовать за них мог лишь комитет выборщиков численностью 1200 человек.
Местных такой порядок не устраивал, и в марте 2013 года священник Чу Ю-Мин, правовед и активист Бенни Тай и профессор Китайского университета Гонконга доктор Чан Кин-ман объявили акцию Occupy Central with Love and Peace — они приглашали жителей в октябре 2014 года мирно и без оружия занять центральный деловой район города с требованием изменить процедуру выборов.
Жёсткую реакцию властей вполне можно было предугадать. Дело даже не в том, что китайские власти в принципе не большие любители общественных протестов, а в том, что 1 октября 2014 года — было важной символической датой: в этот день отмечалась шестьдесят пятая годовщина образования КНР.
Параллельно с подготовкой уличного протеста, на базе двух местных университетов был создан сайт PopVote — площадка для онлайн-референдума, который должен был показать, хотят ли на самом деле жители Гонконга прямых выборов, или нет.
Наблюдая эту активность, власти КНР пообещали гонконгцам всё же провести всеобщие прямые выборы в 2017 году. Вот только кандидатов опять будут подбирать в Пекине.
Тут-то дело взяли в свои руки студенты. Они вышли на улицы на месяц раньше запланированного, в сентябре, и за ними пошли тысячи людей — это уже был не Occupy Central (организаторы несостоявшейся акции называли себя «рядовыми участниками» этого нового, стихийного протеста), а «революцией зонтиков».
Власти отреагировали нервно: местный ОМОН жёстко разгонял толпу, применяя слезоточивый газ и дубинки. На жестокость властей отреагировали хакеры Anonymous. Они выпустили заявление о том, что будут атаковать китайские правительственные сайты, а также опубликуют частную информацию о сотрудниках китайских властных органов. Своё заявление хакеры продублировали на взломанных гонконгских сайтах — по иронии судьбы, вовсе не правительственных — так, взлому подвергся сайт неправительственной организации Autism Partnership.
Спустя несколько дней после начала протеста, на PopVote и местное независимое издание Apple Daily обрушилась самая мощная на тот момент DDoS-атака в истории. Сервера Apple Daily получали мусорный трафик в объеме 500 Гбит/сек.
Бомбардировки затронули и другие гонконгские сайты, причем интенсивность атак усиливалась по мере появления ярких новостей о студенческих протестах. Проправительственные хакеры пытались таким образом заглушить распространение новостей о гонконгской «революции зонтиков».
Глушить информацию о протестах помогали как минимум пять ботнетов, которые маскировали пакеты данных под обычный пользовательский трафик, уворачиваясь таким образом от защитных систем. Для наибольшей эффективности атаки, злоумышленники атаковали не только сайты, но и саму инфраструктуру гонконгского интернета — нападению подверглись DNS-сервера местных провайдеров. Если бы хакерам удалось положить DNS-сервера — гонконгцы на какое-то время фактически лишились бы доступа к интернету. Чтобы этого не произошло, провайдеры были вынуждены сами временно отключить сайты, ставшие целью злоумышленников.
Впрочем, несмотря на атаки, на референдуме проголосовали 800.000 человек (голосовать можно было не только на сайте, но и посредством мобильного приложения, а также в оффлайне, в самом Гонконге и на одном избирательном участке Торонто). Большинство проголосовавших высказались за то, чтобы кандидатов мог выдвигать не только комитет выборщиков, но и политические партии, и народ.
Организовал ли атаку Пекин, или это была чья-то частная инициатива, осталось неизвестным. Атаку на спам-фильтр Spamhaus объёмом 300 Гбит/с за год до того организовал школьник-одиночка, так что всё возможно.
Эта атака затронула всю инфраструктуру гонконгского интернета. Она показала, что правильно спланированный DDoS может вынудить провайдеров без всякого политического или судебного давления самим закрывать доступ к отдельным сайтам для того, чтобы пользователи не потеряли доступ ко всем остальным ресурсам. Между тем, выборы в Гонконге так и не стали более демократичными. Кэрри Лэм, действующая глава администрации, была выбрана комитетом выборщиков.
Сегодня интернет позволяет глушить неугодные голоса проще и дешевле. За громкими атаками чаще всего не стоит никакой дорогостоящей инфраструктуры. Иногда даже не нужно строить ботнет: достаточно взломать несколько популярных сайтов и перенаправить их трафик на сервера жертвы, чтобы серьёзно им навредить.
2016. Ботнет Mirai против интернета: DDoS как Трамп
Накануне президентских выборов в США нападению одновременно подверглись сайты двух главных кандидатов — Хилари Клинтон и Дональда Трампа. За месяц до этого тот же ботнет уже использовался при атаке на DNS-провайдера Dyn.
21 октября 2016 года американские интернет-пользователи стали жаловаться на неполадки в работе многих популярных сайтов: Twitter, Facebook, Reddit, Spotify, PayPal, Pinterest, Github, Airbnb, Amazon и других. Проблема коснулась и жителей Европы, включая Россию — неполадки докатились даже до нескольких городов Индии.
Причиной массового сбоя стала DDoS-атака на сервера DNS-провайдера Dyn. Мусорный трафик, которым захлёбывались сервера Dyn, исходил от бытовых устройств на базе ОС Linux, которые были заражены вирусом Mirai. К ботнету присоединились не только роутеры, но и умные чайники, микроволновки, веб-камеры, принтеры, холодильники и радионяни — несколько миллионов самых неожиданных бытовых приборов, подключенных к интернету.
На то, чтобы окончательно справиться с атакой и её последствиями, ушло почти полдня. В Dyn сообщали, что нападение явно было хорошо спланировано: атака шла с десятков миллионов IP-адресов, а объём трафика в своем пике достигал 1,2 Тбит/сек. Более 1200 сайтов стали недоступны миллионам пользователей.
Представители WikiLeaks посчитали, что случившиеся — ответ их сторонников на отключение от интернета посольства Эквадора в Лондоне, в котором нашёл свое убежище основатель WikiLeaks Джулиан Ассанж. «Мы просим сторонников прекратить разрушать американский интернет. Вы выступили вполне убедительно» — писали они в твиттере.
Ответственность за атаку брали на себя представители Anonymous, SpainSquad и New World Hackers. Подозревали в атаке и россиян. Спустя несколько дней эксперты заговорили о том, что за атакой на Dyn стоит одинокий разгневанный геймер, который хотел положить лишь сайт PlayStation Networks — а вовсе не половину интернета. Доступ к ботнету Mirai он купил в даркнете всего за 7500 долларов.
За два дня до выборов американского президента, 6 ноября, ботнет Mirai вновь напомнил о себе. Неизвестные провели серию коротких DDoS-атак на предвыборные сайты лидеров гонки, Хилари Клинтон и Дональда Трампа. Хотя каждый удар длился не более 30 секунд (хакеры как будто прощупывали почву), а атака не вывела ресурсы из строя и никак не повлияла на ход выборов — она стало важной точкой в череде предвыборных киберскандалов, включавших взлом электронной переписки Демократической партии и личной переписки Клинтон (документы из переписки были опубликованы WikiLeaks).
Нападавшие на сайты Клинтон и Трампа остались неизвестными, однако в декабре 2017 года ФБР арестовало предполагаемых создателей Mirai — президента компании ProTraf Solutions, предоставлявшей услуги защиты от DDoS-атак Параса Джаи, сооснователя компании Джозаю Уайта, и их товарища Далтона Нормана. Они стали сотрудничать с ФБР — и потому, добровольно оставив государству всю арестованную в ходе следствия криптовалюту, отделались условными сроками, исправительными работами и выплатой компенсаций пострадавшим.
Атака на Dyn стала одной из самых масштабных — и уж точно самой заметной в истории: когда ещё пользователи всего мира одновременно теряли доступ к стольким ключевым сайтам сети одновременно. Но нападение на кандидатов в президенты США стало отдельным, особенным сюжетом: впервые DDoS подверглись два противоборствующих лагеря одновременно.
Для рядовых пользователей Mirai обнажил лицо «интернета вещей» — оказалось, что кофеварка и холодильник могут попытаться сорвать выборы и лишить весь мир доступа к Twitter.
Как не стать частью ботнета
Сегодня ботнеты — основной инструмент DDoS-атак. Поэтому мы попросили специалиста в области цифровой безопасности Дмитрия Витальева, директора eQualitie и автора руководства «Цифровая безопасность и прайваси для защитников прав человека», рассказать о том, как защитить свои устройства от вирусов, чтобы они не стали оружием в чужих руках. Вот семь главных советов:
- Регулярно обновляйте операционную систему и все приложения. Даже самое, казалось бы, надёжное ПО не свободно от уязвимостей, которыми могут воспользоваться злоумышленники; новые версии программ закрывают известные проблемы и делают ваш компьютер более безопасным
- Не устанавливайте пиратские программы, не переходите по ссылкам на сомнительные сайты и не открывайте вложения из подозрительных писем и сообщений в чате. Чаще всего вирусы попадают в систему не каким-нибудь экзотическим путём, мы сами позволяем им завестись в системе — по невнимательности или положившись на авось. Помните, что вирусы иногда могут маскироваться даже под картинки и видео; тем более легко они могут проникнуть в систему из офисных документов.
- Защитите свой роутер: регулярно обновляйте прошивку, обязательно установите пароль для доступа к настройкам роутера и сразу меняйте пароли, которые вам выдаёт провайдер. Если роутер очень старый, его лучше заменить. Уязвимый роутер ставит под удар все ваши устройства, ведь через него они получают доступ к сети, а стало быть доверяют. Взломанный роутер не только сам может стать частью ботнета — он может незаметно инфицировать другие устройства и манипулировать ими.
- Настройте роутер на использование OpenDNS. Этот бесплатный для частного использования сервис распознает, что ваше устройство заражено вирусом, который пытается получить инструкции от курирующего атаку сервера. Кроме того, встроенная система фильтрации поможет предотвратить доступ к неблагонадежным сайтам.
- Проверьте все свои устройства, подключённые к интернету. Разрешены ли обновления у них в настройках, регулярно ли они обновляются? Не входит ли одно из ваших устройств в списки заведомо уязвимых? Когда дело касается бытовых устройств (вроде тех, что были инфицированы Mirai), то защитить их бывает не всегда тривиально — не все они допускают пользователя к соответствующим настройкам; для некоторых устройств уязвимость так и просто родовая особенность (их лучше избегать).
Как защитить свой сайт от DDoS-атаки
Из новаторской формы гражданского неповиновения DDoS-атаки стали распространённым инструментом информационной войны, воспользоваться которым может любой: и разгневанный школьник, и частная компания, и политическое движение, и спецслужбы, и военные. Последствия применения DDoS могут не только оцениваться в миллионы долларов, но и влиять на исход политических событий и конфликтов.
Чтобы защитить сайт от угрозы потенциальной атаки, к ней надо заранее готовиться. Желательно иметь в штате технического директора, который знает, что делать и имеет план на случай чрезвычайных ситуаций. Но даже имея штатного специалиста, защититься от распределенной атаки своими силами и не обращаться за помощью — плохая идея. На рынке существует множество компаний, которые могут предложить вам свои услуги по защите от DDoS-атак на коммерческой основе (например, Cloudflare, Cisco Umbrella, Akamai Cloud Security, Amazon CloudFront).
Наши партнёры из eQualitie много лет занимаются защитой сайтов от DDoS, а для социально-ориентированных проектов делают это бесплатно. Их сервис Deflect, благодаря системе расположенных по всему миру прокси-серверов, помогает минимизировать вред от DDoS атак, и даже свести его к нулю. При этом, специалисты расследуют нападения и предоставляют аналитические отчеты о каждом, кто пытается вас атаковать. Deflect помогал отражать DDoS-атаки движению BlackLivesMatter, израильской организации «Бецелем», порталу «Кавказский узел» и защищает сервера «Новой газеты», новостного агентства «Фергана» и сотен других сайтов. Если вы занимаетесь общественными проектами, они надёжно и бесплатно защитят и ваш сайт.
Даже если вы подвергаетесь атаке прямо сейчас и не успели подготовится — не беда. Напишите eQualitie — и они обязательно помогут.
Текст: Мария Лацинская, Илья Эш, Константин Ворович
Иллюстрации: Ольга Горше