ТАЛЛИНН, Эстония.
Когда в 2007 эстонские власти решили перенести бронзовую статую советского солдата времен ВОВ из центрального парка на кладбище на окраине города, они ожидали яростных уличных акций протеста эстонцев российского происхождения.
По своему опыту они также знали, что «если на улице будут драки, то и в интернете будут драки», - говорит Хилар Аарелайд, директор Эстонской группы реагирования на компьютерные инциденты. В конце концов, для людей, живущих здесь, Интернет почти так же важен, как водопроводная вода.
За этим последовало то, что некоторые эксперты обозначили как первую войну в кибер пространстве, трехнедельную битву, которая вынудила эстонские власти защищать свою страну от информационного спама, который, по их словам, был вызван приказами из России или этнических русских источников в ответ на перенос статуи Солдата.
Российское правительство отрицало какую-либо причастность к атакам, которые были близки к выводу из строя цифровой инфраструктуры Эстонии. Атаки подверглись веб-сайты президента, премьер-министра, парламента и других правительственных учреждений, сайт крупнейшего эстонского банка и нескольких ежедневных газет.
«Это оказалось проблемой национальной безопасности», - заявил во время интервью министр обороны Эстонии Яак Аавиксоо. «Это можно было сравнить с тем, когда ваши порты закрыты на выход в море».
Во время этого эпизода эксперты по компьютерной безопасности из НАТО, Европейского Союза, Соединенных Штатов и Израиля объединились в Таллинне, чтобы предложить эстонцам помощь и прояснить, что они могут сделать в условиях кибервойны в цифровую эпоху.
Когда атакующие проникли в эстонское кибер пространство в 26 апреля 2007 года в 10 часов вечера, Аарелайд решил, что готовился не зря. Он установил межсетевые экраны на правительственных веб-сайтах, поднял дополнительные компьютерные серверы и вызвал сотрудников на свои рабочие места в ту напряженную неделю.
К утру 29 апреля, после двух ночей беспорядков, вызванных переносом памятника, улицы Таллинна снова были спокойными, но эстонская электронная линия Мажино рухнула. Во время одной из первых атак почтовый сервер Парламента был заспамлен потоком сообщений, под которыми он упал. В другом случае хакеры проникли на сайт Партии реформ, опубликовав поддельное письмо с извинениями от премьер-министра Андруса Ансипа, за приказ удалить статую Солдата.
В этот момент Аарелаид, бывший офицер полиции, собрал экспертов по безопасности из числа интернет-провайдеров Эстонии, банков, государственных учреждений и полиции. Он также воспользовался своими контактами из Финляндии, Германии, Словении и других стран, чтобы помочь ему отследить и заблокировать подозрительные интернет-адреса и остановить вредоносный трафик с компьютеров, находившихся даже в Перу и Китае.
Большая часть кибератак использовала технику, известную как распределенная атака типа «отказ в обслуживании» (DDOS). Засыпая веб-сайты Эстонии мусорным трафиком, злоумышленники могли положить не только серверы, но и маршрутизаторы и коммутаторы, а также специализированные устройства, которые направляют трафик внутрь национальной сети.
Чтобы усилить нападение, хакеры использовали ботнеты - сети, состоящие из зараженных машин, располагавшихся по всему миру. Такие компьютеры, подчиняются командам из центра управления ботнетом и фактически становятся невольными пехотинцами в кибератаке или «зомби-машинами». Сначала хакеры отправляют один огромный пакет данных для измерения пропускной способности сети. Затем, спустя несколько часов, трафик из нескольких ботнетов вливается в систему, накрывая мутной волной маршрутизаторы и коммутаторы сети, которые захлебываясь в попытках переварить его, в итоге перестают нормально функционировать и зависают..
К концу первой недели атаки эстонцы стали достаточно умело справляться с фильтрацией вредоносного трафика. Тем не менее, Аарелайд знал, что худшее еще впереди. Ведь на носу было 9 мая - День Победы, российский праздник, который знаменует собой победу Советского Союза над нацистской Германией. Кажется, рунет в те дни был полон планов отпраздновать это событие уничтожением сети Эстонии.
Злоумышленники использовали гигантскую сеть ботов - возможно, до одного миллиона компьютеров из таких отдаленных местах, как Соединенные Штаты и Вьетнам, - чтобы усилить мощь своей атаки. Существуют доказательства о том, что некие российские граждане арендовали время у других ботнетов.
«Когда вы объединяете очень и очень большие пакеты информации с тысячами машин, у вас есть рецепт очень разрушительной DDOS атаки, - говорит Хосе Назарио, эксперт по ботам в Arbor Networks, фирме по интернет-безопасности.
В первые часы 9 мая трафик в тысячи раз превысил нормальный поток. 10 мая было еще тяжелее, что вынудило крупнейший банк Эстонии - Hansabank - закрыть свой онлайн-сервис более чем на час. К концу дня 10 мая время атакующих на арендованных серверах истекло, и атаки ботнетов внезапно прекратились. В общей сложности Arbor Networks насчитал десятки атак. Десять крупнейших узлов плевались в сеть Эстонии пакетами до 90 мегабит в секунду, на протяжении 10 часов каждый. Этот шквал данных, эквивалентен тому, как если бы вы загружали пакеты размером с дистрибутив Windows XP каждые шесть секунд в течение 10 часов.
Силы атакующих постепенно снизились только к 18 мая. Хотя некоторые банки Эстонии продолжали и после этого испытывать перегрузку своих сетей связи.
Хотя Эстония не может быть точно уверена в личности злоумышленников, известно, что их планы были размещены в Интернете еще до начала атаки. На русскоязычных форумах и в чат-группах исследователи нашли подробные инструкции о том, как отправлять вредоносные сообщения и какие веб-сайты Эстонии использовать в качестве целей.
Правительственные чиновники США заявили, что характер атак предполагает, что они были инициированы «хактивистами» - техническими экспертами, которые действуют независимо от правительств.
«В настоящее время мы не можем доказать прямые государственные связи», - заявил министр обороны Эстонии Аавиксоо. «Все, что мы можем сказать, это то, что сервер в офисе нашего президента получил запрос с IP-адреса в российской администрации. Это факт, который мы имеем в наших журналах», - добавил он. Москва не предложила помощи в поиске людей, которые, по мнению правительства Эстонии, могут быть замешаны в этом.
Пресс-секретарь Кремля Дмитрий Песков отрицал причастность российского государства к атакам и добавил: «Эстонская сторона должна быть предельно осторожной, когда предъявляет обвинения».
Когда атаки на эстонские системы ослабли, Хилар Аарелайд сказал: «Я простой ИТ-парень. Я знаю много о битах и пакетах данных, но я не смыслю в вопросах большой политики. Но я точно уверен, что кто-то организовал эту вещь».