Около 40 сообществ в Telegram ежедневно атакуют объекты российской инфраструктуры. Каждый день на них публикуют список сайтов, по которым будет нанесен удар. На следующий день в тех же сообществах выкладывают доказательства успешной атаки, в противном случае IT-генералы просят провести атаку еще раз.
"Газета.Ru" изучила инструкции для участников DDoS-атак, а также попросила ИБ-специалистов оценить специализированное ПО - "оружие", которым пользуется "IT ARMY of Ukraine".Под обстрелом
С 24 февраля российские интернет-ресурсы массово атакуют с помощью инструментов для проведения DDoS-атак. Чтобы координировать такие действия, которые наказываются законодательством многих стран реальными тюремными сроками, создано около сорока Telegram-каналов. Об этом "Газете.Ru" рассказал основатель и владелец российской компании "Интернет-Розыск" Игорь Бедеров.
"Данная работа координируется через 40 сообществ. Есть крупные, есть мелкие. Бывает, что более крупные разделяются по направлениям, - например, исключительно для удара по банкам или СМИ" - отметил Игорь Бедеров.
Исключительность этой ситуации состоит в том, что к участию в таких атаках призвал министр цифровой трансформации Украины Михаил Фёдоров.
В интервью иностранным СМИ глава украинского ведомства не раз говорил, что организовал "первую в мире киберармию".
"На данный момент у нас около 300 тыс. специалистов. Участие добровольное, и мы организуем его через Telegram, куда выкладываем ежедневные задания. Личного контакта с киберволонтерами нет", — сообщил Федоров в интервью испанской газете El País еще 27 апреля.
По оценке Игоря Бедерова, в атаках принимает участие около 650 тыс. человек. Но это дать точные оценки очень сложно.
Такого же мнения о невозможности оценки количества участников атак придерживается и директор экспертного центра безопасности компании Positive Technologies Алексей Новиков.
"Только в одном из чатов, где координируются атаки, мы видим около 300 тысяч участников," – рассказал Новиков "Газете.Ru". – "Сколько атакующих на самом деле, оценить невозможно. Но ясно, что меньше их не становится."
По словам Игоря Бедерова, мессенджер Telegram никак на данную активность не реагирует. И каналы, и их администраторы связаны друг с другом.
"Есть админы, которые держат несколько чатов. Мы их идентифицировали. И мы знаем, что там одни и те же администраторы, которые начинали эту историю и в дальнейшем ее курировали. Нам удалось идентифицировать около 20 человек. Им примерно 23-30 лет. Много учащихся технических вузов, студентов", - отметил Бедеров.
По словам специалиста, большинство участников данных сообществ используют либо общедоступное программное обеспечение, которое размещают в сообществе, либо внешний веб-сайт, где ПО уже размещено. То есть уровень и участников, и организаторов очень низок.
Что такое DDoS-атака?
Напомним, что под DDoS-атаками понимают действия, направленные на блокировку какого-либо веб-ресурса. Это массовая отсылка запросов на сервер или веб-сайт, который нужно "положить". Количество подобных запросов должно превышать все возможные лимиты. Это стало возможным благодаря тысячам участников.
Реальная DDoS-атака предполагает "массовость" каких-либо действий, например: направление на сервер некорректных инструкций, выполнение которых приводит к аварийному завершению работы. Или массовая атака ложными адресами, что приводит к "забиванию" каналов связи. Можно перенаправить огромное количество пользовательских данных на сервер, что приводит к их бесконечной обработке.
Цель DDoS–атаки в том, чтобы выбранный для атаки сервер перестал работать.
Для этого Министерство цифровой трансформации Украины организовало Telegram-канал "IT ARMY of Ukraine". Там ежедневно присылают список адресов российских сайтов, на которые надо совершить DDoS–атаку.
Самые свежие цели, на которые была направлена активность украинской IT-армии (от 25 мая), - это Московская и Санкт-Петербургская валютные биржи.
По итогам атак в Telegram-канале появляются ободряющие cообщения. Например, вот такие: "Давайте сегодня закрепим результаты последних дней и подержим (оставим в неработающем состоянии) ресурсы российских банков и МФО."
Для доказательства успеха атак публикуются скрины сообщений в российских СМИ или скрины страниц неработающих сайтов компаний. Вот такое было размещено 23 мая: "Несколько крупнейших российских микрофинансовых организаций остановили утром 23 мая свою работу из DDoS–атак на свои сайты. Более 20 компаний остановили выдачу онлайн-займов."
Цифровые "жнецы"
Есть также ассоциированные с "IT ARMY of Ukraine" другие каналы, которые помогают в атаках "Министерству цифровой трансформации Украины". Благодарности кураторам этих каналов регулярно появляются в "IT ARMY". "Газета.Ru" насчитала еще 12 постоянных сообществ, среди которых "Украинский жнец", "КіберПаляниця", "Студенческий комитет кибербезопасности и обороны Украины", CYBER CERBER, "Гайдамаки", "Anonymous – Украина" и другие.
Некоторые организаторы атак постоянно работают над усовершенствованием своего "IT-оружия". Например, организаторы канала "Украинский жнец" примерно раз в пять дней сообщают об обновлении своей программы Multiddos.
"Напоминаем об обновлении mhddos_proxy, которое позволяет еще эффективнее атаковать российские ресурсы. Инструкция доступна по ссылке. А также о телеграмм боте, которому можно предоставить свои облачные ресурсы, а он в свою очередь будет централизованно запускать атаку с них", - пишут кураторы "Украинского жнеца".
Как рассказал "Газете.Ру" технический директор Swordfish Security Антон Башарин, Multiddos создано специально для осуществления DDoS-атак и не является модификацией какой-либо администраторской утилиты.
"Это ПО представляет собой интерфейс для работы с несколькими инструментами. Часть из них была известна ранее, часть была разработана относительно недавно. Утилита Multiddos, известная ранее как auto_mhddos, появилась в сети в середине марта этого года," – отметил Башарин.
По его словам, это ПО обладает рядом неплохих характеристик. Оно объединяет в себе несколько утилит и для осуществления DDoS-атак, и для мониторинга.
"Multiddos формирует трафик, похожий на действие реального пользователя, применяя очень много случайных данных. Очевидно, что для формирования структуры запросов и их последовательности используется трафик реальной системы, либо компиляция из нескольких систем", - говорит Башарин.
Ради постоянного обновления системы "Украинские жнецы" регулярно ищут специалистов. В требуемых навыках: умение создавать вирусы, пентестить (умение находить уязвимости и проблемы в чужом ПО, – "Газета.Ru"), создавать фишинговые сайты. Еще в приоритете – много свободного времени, которое, как можно предполагать, будет затрачено на совершенствование "IT-оружия".
Специалисты компании Positive Technologies и других компаний, которые профессионально занимаются безопасностью, просматривают сообщения с указанием целей атак на таких Telegram-каналах, чтобы, по возможности, предотвратить их, - объясняет Алексей Новиков. Но удается предупредить только атаки на компании, которые заранее были защищены, причем как со своей стороны, так и со стороны провайдера.
"Тогда можно успеть переключить цифровой "тумблер". То есть, переключаешь его, - и вот у тебя активирована защита от DDoS. Но постоянно держать "тумблер" включенным не выгодно. Если же его нет, то за 10 минут предпринять что-либо невозможно", - отметил специалист.
Свежие комментарии