Медиановости

2 декабря 2011 17:35

За что нас "убивали"

В 18:20 четверга, 1 декабря,  несколько тысяч компьютеров, разбросанных по всему миру, начали посылать запросы на сайт ЗАКС.Ру. Ежеминутно до полумиллиона ботов пытались загрузить одну и ту же новость про инвалидов. После нескольких неудачных атак на сайты ЗАКС.Ру и петербургской "Новой Газеты", "штурмовикам" все же удалось "уронить" ресурсы. Эксперты расходятся во мнениях, кто именно заказал нападение.

Оба издания – ЗАКС.Ру и "Новая Газета в Петербурге" – относятся к холдингу "Медиа-СПб". Именно они первыми подверглись нападению. Вскоре "упал" сайт Лениздат.Ру, также принадлежащий компании. Хотя его не атаковали напрямую, волна ботов накрыла и этот ресурс.

Паразитные запросы

DDOS-атака началась примерно в 18:20 1 декабря. Изначально она была направлена на две страницы ЗАКС.Ру. Однако на какие именно – в нашем случае абсолютно не имеет значения.

– Никакой нормальный человек не будет атаковать страницу, которая явилась причиной его гнева, – поясняет системный администратор холдинга.

Первая атака была отбита. Паразитные запросы пошли на сайт "Новой Газеты". Речь идет о заходах на сайт, на определенную его страницу с тысяч компьютеров, разбросанных по всему миру. Владельцы этих компьютеров даже не подозревают, что участвуют в сети ботов, бот-net. Ресурсам пришлось отвечать примерно на полмиллиона запросов ежеминутно.  

Атаку на сайт Новой Газеты снова удалось отбить. Организаторам нападения пришлось изменить свою тактику. Запросы пошли к IP-адресу сервера. Их поток составил 50 мегабит в секунду. Весь канал передачи данных оказался заполненным паразитным трафиком. – Люди решили не париться с отдельными страницами, а просто убить сервер. Атака продолжалась всю ночь, – рассказывает администратор.

Технически подобное нападение организовать легко. На форумах в Интернете размещено значительное количество объявлений с предложениями устроить DDOS-атаки. Занимаются этим люди, обладающие сетью зараженных компьютеров. Цены выставляются довольно низкие и варьируются в зависимости от количества ботов в сети (а как следствие – мощности атаки). Суточная стоимость может составлять от 25 до 100 долларов. Есть почасовая оплата. Например, пользователь, первым "выскочивший" по соответствующему запросу в Интернете, предлагает такие услуги за 15 долларов в час.

Оплата осуществляется обезличенными платежами. Заказчики передают исполнителям коды от карт оплаты, на которых лежат деньги. Рассчитываться также можно через яндекс-кошелек, web-money, отправляя деньги через платежные терминалы и т.д.

– Спрогнозировать, сколько продлится атака, невозможно, – поясняет системный администратор. – Ее длительность ограничена исключительно желанием и деньгами заказчика.

Кому помешал "Медиа-СПб"?

Свое прогнозы о сроках окончания атаки ЗАКС.Ру высказывают эксперты. В частности, источник из Мариинского дворца советует изданию "даже не переживать" – раньше 5 декабря волна ботов не схлынет.

– Сейчас самая горячая пора перед выборами. Формируются составы дополнительных участковых комиссий. Процесс сопряжен со скандалами. Плюс – суббота. В этот день избиратели будут отсматривать все ваши публикации за последние пару месяцев, сопоставлять информацию, строить логические цепочки…. Ну подумайте сами. Зачем вы нужны перед выборами, – успокаивающе резюмирует собеседник.

Впрочем, ЗАКС.Ру обращает внимание на то, что служба технической поддержки холдинга работает над новой системой безопасности ресурсов. Издание надеется, что до 4 декабря системным администраторам все же удастся отбиться от ботов.

Иной точки зрения в оценках мотивов атаки придерживается политолог Станислав Белковский. По его мнению, дело в деньгах.

– Думаю, атаки организованы сурковскими людьми. Его интернет-подразделение, которым неформально командует депутат ГосДумы Константин Рыков, – эксперт призывает не думать, что проблема была именно в ЗАКС.Ру – давлению сейчас подвергаются многие СМИ, среди которых оказалось и наше издание. – Сам по себе ЗАКС.Ру опасности для власти не представляет. Весь вопрос – в освоении бюджета.

С такой точкой зрения согласен и политолог Владимир Васильев. Для него "тут все ясно: главная цель этих действий – не профилактика выступлений против "Единой России", а отмывка денег".

– Представьте истерику в штабе партии власти, обусловленную ее низкими рейтингами. На их фоне приветствуются любые предложения политтехнологов, которые хоть как-то могут содействовать повышению популярности. Вот они предлагают – давайте обрушим тех, тех и тех. Предложение воспринимается "на ура". Выделяются бешеные деньги, которые вниз спускаются со "ступенчатыми" огромными откатами, – высказывает свою точку зрения Васильев.

Станислав Белковский, в свою очередь, считает, что некие люди с целью получения финансирования смогли убедить руководство, что в последние дни перед выборами и в день голосования необходимо нейтрализовать оппозиционные СМИ. То есть в нашем случае нейтрализация – лишь средство получения денег.

– Как раз вчера была совершена атака на "Коммерсантъ", многие СМИ усиливают свою цензуру, – продолжает политолог. – То есть я вижу: еще недавно они "такое" писали. А теперь им уже нельзя. Все это – результат общей кампании.

ЗАКС.Ру и Коммерсантъ – характер атак разный

ЗАКС.Ру обратился к коллегам из федерального "Коммерсанта", сайт которого также второй день страдает от нападений. Однако там об инициаторах атаки догадок не строят и обращают внимание на то, что по сравнению с ЗАКС.Ру у них проблемы значительно меньше.

– То, что происходит в последние два дня, атакой не является, – рассказывает ЗАКС.Ру гендиректор издательского дома "Коммерсантъ" Демьян Кудрявцев, – У нашего оператора были подменены dns-таблицы. В итоге люди, которые набирали kommersant.ru, попадали не к нам, а на некий сервер, показывающий плакат. А уже через него они могли попасть к нам. По сути, в этот раз наш сервер никто не обрушивал. И если люди приходили на сайт "Коммерсанта" по ссылкам, они сразу попадали к нам, не испытывая никаких проблем.

Кудрявцев поясняет, что проблема с ложными dns-таблицами уже исправлена. Они заменены на правильные. Но чтобы они разошлись по провайдерам, необходимо некоторое время.

– Подложные таблицы, выложенные злоумышленниками, остались в кэше – памяти некоторых провайдеров. А она обновляется не сразу, постепенно. Мы пытаемся ускорить процесс, звоним крупным провайдерам, говорим: "ребята, обновите кэш". Некоторые соглашаются, некоторые говорят: "позвоните попозже", некоторые – что уже обновили. В ближайшие часы мы все исправим, – рассказывает Кудрявцев.

По его словам, издательскому дому не принципиально важно, кто именно организовал подмену таблиц. С целью установления личностей злоумышленников уже направлены заявления в правоохранительные органы.

– Когда валили наш сервер (это было несколько месяцев назад), в частности, обвалили окружающие нас сети. А там – школы, больницы, военные части. В тот раз мы тоже писали заявление в правоохранительные органы, но результата их работы мы не увидели.  Хотя в принципе подвижки в области раскрываемости компьютерных преступлений есть. Поэтому надеюсь, что когда-нибудь и нам повезет. Найдут… – мечтательно резюмирует Кудрявцев.

Справедливости ради отметим, что предположения политолога остаются лишь предположениями. А нападение на сайты было организовано буквально за час до того, как должен был быть опубликован материал, посвященный возможным махинациям на выборах, связанным с предприятием "Водоканал" и дочерью его руководителя, баллотирующейся в ЗакС. Если бы "Эхо Петербурга" и федеральная "Новая газета" не согласились "приютить" ЗАКС.Ру, за что редакция выражает ему свою благодарность, текст мог бы и не увидеть свет…