Около 40 сообществ в Telegram ежедневно атакуют объекты российской инфраструктуры. Каждый день на них публикуют список сайтов, по которым будет нанесен удар. На следующий день в тех же сообществах выкладывают доказательства успешной атаки, в противном случае IT-генералы просят провести атаку еще раз. «Газета.Ru» изучила инструкции для участников DDoS-атак, а также попросила ИБ-специалистов оценить специализированное ПО — «оружие», которым пользуется «IT ARMY of Ukraine».
Под обстрелом
С 24 февраля российские интернет-ресурсы массово атакуют с помощью инструментов для проведения DDoS-атак. Чтобы координировать такие действия, которые наказываются законодательством многих стран реальными тюремными сроками, создано около сорока Telegram-каналов. Об этом «Газете.Ru» рассказал основатель и владелец российской компании «Интернет-Розыск» Игорь Бедеров.
Данная работа координируется через 40 сообществ. Есть крупные, есть мелкие. Бывает, что более крупные разделяются по направлениям, — например, исключительно для удара по банкам или СМИ.
Исключительность этой ситуации состоит в том, что к участию в таких атаках призвал министр цифровой трансформации Украины Михаил Фёдоров.
В интервью иностранным СМИ глава украинского ведомства не раз говорил, что организовал «первую в мире киберармию».
На данный момент у нас около 300 тыс. специалистов. Участие добровольное, и мы организуем его через Telegram, куда выкладываем ежедневные задания. Личного контакта с киберволонтерами нет.
По оценке Игоря Бедерова, в атаках принимает участие около 650 тыс. человек. Но это дать точные оценки очень сложно.
Такого же мнения о невозможности оценки количества участников атак придерживается и директор экспертного центра безопасности компании Positive Technologies Алексей Новиков.
Только в одном из чатов, где координируются атаки, мы видим около 300 тысяч участников. Сколько атакующих на самом деле, оценить невозможно. Но ясно, что меньше их не становится.
По словам Игоря Бедерова, мессенджер Telegram никак на данную активность не реагирует. И каналы, и их администраторы связаны друг с другом.
Есть админы, которые держат несколько чатов. Мы их идентифицировали. И мы знаем, что там одни и те же администраторы, которые начинали эту историю и в дальнейшем ее курировали. Нам удалось идентифицировать около 20 человек. Им примерно 23-30 лет. Много учащихся технических вузов, студентов.
По словам специалиста, большинство участников данных сообществ используют либо общедоступное программное обеспечение, которое размещают в сообществе, либо внешний веб-сайт, где ПО уже размещено. То есть уровень и участников, и организаторов очень низок.
Что такое DDoS-атака?
Напомним, что под DDoS-атаками понимают действия, направленные на блокировку какого-либо веб-ресурса. Это массовая отсылка запросов на сервер или веб-сайт, который нужно «положить». Количество подобных запросов должно превышать все возможные лимиты. Это стало возможным благодаря тысячам участников.
Цель DDoS–атаки в том, чтобы выбранный для атаки сервер перестал работать.
Для этого Министерство цифровой трансформации Украины организовало Telegram-канал «IT ARMY of Ukraine». Там ежедневно присылают список адресов российских сайтов, на которые надо совершить DDoS–атаку.
Самые свежие цели, на которые была направлена активность украинской IT-армии (от 25 мая), — это Московская и Санкт-Петербургская валютные биржи.
IT ARMY
Есть также ассоциированные с «IT ARMY of Ukraine» другие каналы, которые помогают в атаках «Министерству цифровой трансформации Украины».
«Газета.Ru» насчитала еще 12 постоянных сообществ, среди которых «Украинский жнец», «КіберПаляниця», «Студенческий комитет кибербезопасности и обороны Украины», CYBER CERBER, «Гайдамаки», «Anonymous — Украина» и другие. Некоторые организаторы атак постоянно работают над усовершенствованием своего «IT-оружия».
Специалисты компании Positive Technologies и других компаний, которые профессионально занимаются безопасностью, просматривают сообщения с указанием целей атак на таких Telegram-каналах, чтобы, по возможности, предотвратить их. Но удается предупредить только атаки на компании, которые заранее были защищены, причем как со своей стороны, так и со стороны провайдера.
