DDoSтану кожного!

Их массовое применение некоторые эксперты даже называют трендом выборов-2012 . Конечно, на фоне штурмов “Беркутом” окружных избиркомов или, еще раньше, откровенного жульничества при формировании комиссий, малопонятные основной массе избирателей шалости в не всем еще доступном и не всеми востребованном Интернете могут показаться мелочью. Причем наш народ и партии в расхожем мнении едины: взломы сайтов и почтовых ящиков, сетевые и DDоS-атаки воспринимаются не как преступление, а просто как технология, с которой якобы невозможно бороться. Но мир цивилизованный — который на один уровень угроз сегодня ставит киберпреступность и терроризм — от нашей легкости отношения к этому являению должен быть в шоке. С одной стороны — настоящий киберразбой на службе у политиков государства в центре Европы, с другой — блокирование свободы слова в самом пока что свободном информпространстве Украины. Хотя, конечно, чувство ужаса и протеста должно было охватить каждого из нас, граждан страны, катящейся к авторитаризму и разрешенному призволу одновременно.

“Технические” неполадки

Списывать все на “черных” технологов, которым “нашу страну не жалко”, конечно же, наивно и глупо. Вся грязь и противозаконные методы, которые использовали технологи, без сомнения, были санкционированы политиками — партийными вождями разного калибра, кандидатами или руководителями их штабов, которые выступали заказчиками и оплачивали заказы на взломы почтовых ящиков, рассылку спама и DDоS-атаки. Оплачивали, естественно, не из избирательных фондов, а “черным налом” из “черных” касс, то есть грязными деньгами, тем самым поднимая уровень политической коррупции в стране на новые высоты. 

Богатый арсенал криминальных методов и приемов вкупе с прайсами на услуги и работы сначала открылся широкой публике в Одессе. Следствием одного преступления — взломов почтового ящика и аккаунта в соцсети российского технолога Семена Уралова, работавшего в штабе лидера “Родины” Игоря Маркова, стал огромный массив информации, имеющей общественный интерес, а именно свидетельства других преступлений и ведения нечестной конкурентной борьбы. Среди них: организация DDоS-атак на недружественные ресурсы, рассылка спама и телефонный троллинг от имени конкурента, создание подставных аккаунтов в соцсетях и т.д. Сам Уралов, подтверждая взлом почты и своего аккаунта, подозревает в этом конкурента Маркова Алексея Гончаренко, нелюбого сына мэра Одессы Костусева, но отрицает участие в сомнительных разработках. 

Следом за Uralovleaks, который продолжал пополняться все новыми публикациями, подобный скандал разразился в Крыму. Источником новых познаний в “черных” технологиях стала переписка людей с именами главного пиарщика крымского штаба Партии регионов Игоря Шпилея и кандидатов от технических партий, работавших против конкурентов регионалов в симферопольских округах. 

Все адресанты свою причастность к опубликованному отрицали. И немудрено: “деловая” переписка представителя заказчика и исполнителей содержит тексты грязных публикаций в интернет-ресурсах и, собственно, создание таковых (реанимация сайта для публикаций “компромата” на лидеров оппозиции), регистрации клона общественного движения, а также сметы на оплату агитации наличными и даже жалобы на то, что в штабе регионалов “бабло зажимают”. 

Переписку обнародовал лидер партии “Союз” Лев Миримский, против которого также были задействованы эти технологии и который, к слову, стал единственным нерегионалом, победившем в мажоритарном округе в Крыму. Борьба с этим же кандидатом, судя по заявлению крупнейшего украинского хостера, могла быть причиной мощной волны DDoS-атак. Как сообщал в интервью президент MiroHost Александр Ольшанский, атаки начались за несколько дней до дня голосования. 25 октября были зафиксированы 16 одновременных атак различных типов на разные ресурсы, а 27 октября, по словам Ольшанского, произошел беспрецедентный случай: в компанию дважды позвонил неизвестный, требуя отключить сайт Миримского, угрожая атакой не только на него, но и на остальные ресурсы MiroHost. 

Ночные звонки от имени конкурентов, казалось, уже давно забытый пещерный пиар времен проводных телефонов. Ан нет, и эта пакость понадобилась, причем во всеукраинском масштабе — людей будили и терроризировали рекламой от оппозиции и Юлии Тимошенко лично, песенкой “выборы, выборы”, а то и просто беспрерывным набором. На телефон крымского медиаюриста Арсена Османова, заявленный накануне для круглосуточной правовой горячей линии для журналистов, с двух до восьми часов утра поступило 620 звонков. Но главная технология касалась независимых новых медиа — источников неконтролируемой властью и партийными штабами информации. 

“Сайтоповал” 

Жервы октябрьских DDoS-атак (а есть основания говорить о нескольких волнах) можно разделить на три условные категории. Это Интернет-представительства госорганов, партий и кандидатов, второй эшелон — сайты общественных организаций, ведущих мониторинг нарушений во время избирательной кампании, в том числе и методом краудсорсинга — о нарушениях сообщали избиратели. И третий отряд, попавший под атаки, — средства массовой информации, причем, что немаловажно, могущих вести прямые онлайн-трансляции с любого конфликтного очага без особых финансовых и технологических затрат. 

1. Сайты политиков, партий и государственные интернет-ресурсы

Разрозненные сообщения об атаках на сайты партий и личные сайты политиков поступали всю избирательную кампанию, но волны, накрывающие одновременно несколько сайтов, пошли в октябре. 16 октября, по сообщению Крымской организации Партии регионов, была совершена попытка взлома ее сайта, а затем был создан его клон, на котором опубликовали ложное заявление лидера крымских регионалов Анатолия Могилева. 17 октября в результате DDoS-атак “легли” сайты партий “Батьківщина”, “Фронт змін” и персональные сайты Юлии Тимошенко и Анатолия Гриценко. 

28 октября с 13.00 список атакованных ресурсов расширился. 

“DDoS-ударами хакеры завалили мой персональный сайт. Также персональные сайты Тимошенко, Турчинова и Яценюка. Власть, видимо, решила к фальсификациям на участках добавить еще и компьютерные игрища с сайтами оппозиционеров? Работаем над восстановлением работы сайтов, но бьют не „чайники“ — профессионалы”, — писал А.Гриценко в Facebook. 

В свою очередь пресс-служба ПР заявила об атаке в это же время на свой официальный сайт, обвинив оппонентов в блокировании достоверной информации и провокации. 

30 октября Государственная служба специальной связи и защиты информации Украины сообщила, что в день выборов с 16.04 DDоS-атака также велась на сайты Центральной избирательной комиссии (ЦИК) и президента Украины. Как уточнил ZN.UA руководитель пресс-службы ведомства Юрий Конопацкий, атак было несколько. Кроме того, в этот же день было зафиксировано свыше 2300 сетевых атак, “успешная реализация которых могла привести к нарушению целостности и достоверности информации на сайтах президента и ЦИК”. 

2. Сайты общественных организаций, ведущих мониторинг соблюдения избирательных прав

Сайты Гражданской сети “ОПОРА”, сайт и два избирательных проекта Комитета избирателей Украины, проекты “Интерньюз-Украина” Electua.org и сайта “Майдан” были атакованы часом позже партийных сайтов — приблизительно в 14.00. В результате “ОПОРА” вынуждена была перенести обнародование оперативного статистического подсчета голосов, поскольку, как сообщалось, сайт и сервер, на котором обрабатывалась информация и хранилась база данных нарушений, были недоступны. 

Как сообщил ZN.UA руководитель пресс-службы сети “ОПОРА” Юрий Хорунжий, чтобы донести информацию, пришлось задействовать другие каналы распространения информации — рассылка, социальные сети. По его словам, атака продолжалась вплоть до среды, в ней участвовало до 3 тысяч ботов. Временные и технические параметры атак на ресурсы “ОПОРЫ” и “Интерньюз-Украина”, которые находятся на разных серверах, у разных хостеров и в разных странах, по словам представителей ОО, практически совпадают. 

3. И, наконец, последний пул жертв “сайтоповала” — новые медиа, интернет-издания 

К сожалению, ни одна из мониторинговых организаций и групп пока не обнародовала сводную информацию о том, сколько интернет-изданий было подвержено атакам во время избирательной гонки и конкретно — в день выборов. Будем надеяться, в финальных отчетах мониторингов эта информация найдет свое отражение, поскольку киберпреступление в этих случаях прирастает еще одной статьей УК — 171, предполагающей ответственность за препятствование профессиональной деятельности журналистов. 

Характерная деталь: многие СМИ, которые подверглись атаке 28 октября, имели своего рода предвестники — звонки с предложениями/угрозами, взломы в середине месяца или накануне дня голосования, и атаки не прекратились по его окончании. 

Константин Леонтьев, генеральный директор ЧАО “Инфинсервис” в официальном комментарии сообщал, что DDoS-атака на финансовый портал FINANCE.UA началась 26 октября. “В последнее время к нам поступали звонки с анонимными предупреждениями и просьбами остановить часть сервисов или портал в целом. Разумеется, мы не договорились. Звонки прекратились и сразу началась DDoS-атака”, — сообщал К.Леонтьев. 

Со второго ноября начались мощные атаки на сайт Lb.ua, сообщает шеф-редактор издания Соня Кошкина на своей странице в Facebook. “Нас много раз атаковали, но такого, по словам специалистов, еще не было”, — пишет шеф-редактор, не находящая ответа на вопросы: кому это надо и почему сейчас, то есть после выборов. Об атаках на свои порталы в день выборов также заявляли два российских информагентства, имеющие в Украине представительства — “РБК” и “Новый регион”, крымский сайт которого подвергается атакам с завидной регулярностью. Кроме того, в Крыму надоступными стали сайты ТРК “Черноморская”, еженедельника “События” и “Соціальна країна” — СМИ из условного медиахолдинга лидеров крымских бютовцев А.Сенченко и Л.Денисовой. 

В волну с 13.00 в день голосования были атакованы 10 интернет-ресурсов самой крупной медиаорганизации Юго-Востока Украины — ОО “Информационный пресс-центр” (ІРС). Недоступными стали портал “Центра журналистских расследований”, сайты шести медиацентров в городах полуострова и проект ІРС-Севастополь “Гражданская оборона”. 29 октября атака прекратилась, однако во вторник, 30-го возобновилась и длилась до воскресенья! Момент, на который мы уже обращали внимание — DDoS-атаке в день выборов предшествовала попытка взлома сайта. Случилось это с сайтом “Центр журналистских расследований” через 15—20 минут после опубликования статьи “Как заполучить 40 процентов поддержки избирателей”, с раскрытием содержания инструктажа штабистов крымских регионалов по технологиям мобилизации электората, о чем ZN.UA также писало. Вследствие взлома статья по доступности вела себя как чеширский кот, то исчезая совсем, то появляясь, но без слова “регион” в тексте. 

Судить о природе и причинах этих DDoS-атак автору легко, поскольку являюсь председателем правления этой организации и руководителем Центра журналистских расследований и могу со всей полнотой ответственности сказать, что эти ресурсы — фактически единственные в Крыму, кто не “джинсовал”, не выполнял команды и просьбы из штабов и кто уже третьи выборы проводит расследования финансирования политических кампаний. Но, конечно же, этот материал пишется не только по причине собственных проблем. Обсуждение с коллегами ситуации, в которой в кибервойну были втянуты и сайт ЦВК, и партийные сайты, и проекты общественных организаций — наблюдателей, и независимых СМИ, приводит к мысли о необходимости крепко и солидарно задуматься, каким образом этой беде противостоять. 

Куда стучаться? 

Для начала, конечно, СМИ и общественникам стоит понять, что это было? Версия руководителя Комитета избирателей Украины Александра Черненко следующая: “У кого-то появилось опасение, что у нас возможна „арабская весна“. И все неподконтрольные ресурсы решено было заблокировать — на всякий случай. Это недорого. Пришли умники в штабы, сказали, что за тысяч пять долларов они обеспечат такую работу, и им сказали — давай!”. По мнению А.Черненко, особые опасения у фальсификаторов могла вызывать возможность онлайн-трансляций с проблемных комиссий. “Это урок. и надо всем нам думать о защите — как технической, так и юридической от таких преступлений”, — считает руководитель КИУ. 

В этом смысле стоит обратить взоры на северную соседку. Нет, не в плане, что все беды оттуда следом за гастролерами-технологами, хотя и это имеет место быть. Стоит сравнить сценарии DDoS-атак на независимые от Кремля СМИ в декабре 2011 и мае 2012 с тем, что у нас было в октябре, и вы найдете много общего. Еще больше можно было бы найти в атаках на различные украинские ресурсы, если бы мы с вами имели в Украине ту возможность, которая есть у наших российских коллег. Как минимум три компании — HighloadLab, специализирующаяся на изучении и противодействии DDoS-атакам (технология Qrator ), проект Лаборатории Касперского Kaspersky DDoS Prevention и компания Group-IB, которая занимается расследованием компьютерных преступлений, — сегодня могут служить и скорой помощью для атакованных ресурсов, беря их под защиту во время атаки, и помощником в сборе необходимой информации и даже доказательств для обращения в правоохранительные органы и суд. 

Хорошая новость: Group-IB подписала соглашение с украинской фирмой “Уа линукс” и вскоре услуги по расследованиям DDoS-атак будут возможны и у нас. Как сообщил ZN.UA руководитель компании Владимир Попов, на сегодня, к сожалению, и сами владельцы ресурсов не всегда понимают, как нужно защищаться. И речь не только об устранении уязвимостей ПО, даже многие банкиры, у клиентов которых крадут деньги интернет-рыбаки (фишинг), предпочитают искать злоумышленников среди своих ІТ-шников. 

Но, конечно, в первую очередь надо обратиться в правоохранительные органы, теперь это МВД и его управление по борьбе с киберпреступностью. Но, имея как пример обращение в СБУ и оперативное возбуждение уголовного дела по заявлению Анатолия Могилева по факту атаки на сайт КРО Партии регионов, автор (как руководитель Центра журналистских расследований) также обратилась в крымский главк СБУ. Не надо иронии! В пятницу, по завершении проверки, в ГУ СБУ Украины в Крыму сообщили о возбуждении уголовного дела по факту преступления, предусмотренного ч.1. статьи 361 УК (незаконное вмешательство в работу компьютеров, систем и сетей). 

Теперь внимание: как сообщила ZN.UA пресс-секретарь СБУ Марина Остапенко, по фактам DDoS-атак на сайты в октябре 2012 года в СБУ с заявлениями о преступлении обратились всего два лица: Анатолий Могилев и Валентина Самар. В обеих случаях, как уже было сказано, были возбуждены уголовные дела. Где остальные пострадавшие?