22 февраля, 2012
Предвыборное ДДоС-обострение.
Есть на Руси такая традиция: как выборы — так сразу рунетовские новостные сайты уходят в даун из-за возросшей активности электората, а на оставшихся набрасывается страшный и ужасный ддос.
Не успело забыться декабрьское парламентское обострение, как «тёмная сторона силы» досрочно включила рубильник к выборам президентским. И то ли ещё будет – скорее всего это «ещё» не раз засветится в новостных заголовках (тех новостных сайтов, кто выстоит грядущий мартовский ддос).
Что мы имеем на данный момент.
Коллеги из Arbor Networks недавно уже написали о первых политически-мотивированных атаках в России. По нашим данным атаки начались 3 февраля и были направлены на сайты cik—ufa.ru и uasdan.com. 7 февраля к ним добавили openufa.com. Через неделю стали долбить journalufa.com и зеркало ресурса размещенное на ЖЖ — в список попал journalufa.livejournal.com. Днём позже стали атаковать muhamediarov.ru.
Интересны первые подробности этих атак. Используется несколько ботнетов одного типа поочередно сменяющих друг друга. В общей сложности мы насчитали 8 центров управления. Сами центры расположены на совершенно разных площадках у разных провайдеров и в разных странах. Однако они с большой вероятностью управляются одним и тем же человеком.
И свежие новости: на днях под атаку попал еще один сайт — www.ria-bashkiria.com. Команду на ддос отдали с одного из упомянутых выше центров управления. Стоит отдать должное администраторам сайта, которые очень быстро отреагировали и отразили атаку. В итоге сайт был в нокауте лишь несколько часов. Администраторы также предоставили нам ценные данные о состоявшемся ддосе. А данные показали, что атаковали с относительного небольшого ботнета численностью от 2000 зомби-компьютеров. Как мы выяснили ддос шёл в основном с компьютеров, расположенных в России, Пакистане и Индии, хотя полный список стран достигает 70. Любопытно, что центр управления ботнета расположен… во Франции, в датацентре провайдера OVH, который сдал мощности в аренду абузоустойчивому хостеру, известному как Vainet. Последний и перепродал свои хостинг услуги киберпреступнику.
Что это за хостер, кто контролирует ботнет и доколе это будет продолжаться сейчас разбираемся. Будем держать в курсе.
Есть еще один пикантный факт — приблизительно в то же время 7 февраля некто с совершенно другого ботнета отдал команду на атаку ресурса chestnye-vybory.ru, который принадлежит «Молодой Гвардии». Таким образом, всё это уж очень напоминает перепалку между политическими медиа ресурсами разных полюсов.
Владельцы ботнетов, задействованных в этих атаках ранее были замечены в ддосах на всевозможные сайты — онлайн магазины, банки, тематические форумы и просто персональные аполитичные блоги. Отсюда можно сделать вывод, что они, скорее всего, просто наёмники, готовые на «любой каприз за ваши деньги» — т.е. заддосят кого угодно.
И ведь не за горами тот день, когда мы увидим перекрестный ддос между двумя политическими сторонами, который будет организован на базе одного и того же ботнета ;) Что будем иметь в итоге? — недоступность ресурсов обеих сторон и торжество кибернегодяев. И кому это надо? (вопрос риторический).
А вот кстати подоспел наш полугодовой репорт по ддосу. Цитирую:
Во втором полугодии 2011 года Интернет захлестнула новая волна DDoS-атак, главной виновницей которых оказалась Россия. По данным «Лаборатории Касперского», наша страна стала источником 16% мирового DDoS-трафика. Чуть меньшую угрозу в этот период представляли Украина (12%), Таиланд (7%) и Малайзия (6%). В общей сложности 90% зарегистрированных атак велись с компьютеров, расположенных в 23 странах мира.
Так что покамест всем сайтам, связанным с политикой рекомендуем озаботиться хоть какой защитой от ддоса. Чтобы потом в Рунете не было мучительно тихо.