DDos-война: кто стравливает Россию и Грузию?


Начало боевых действий в Южной Осетии сопровождалось DDoS-атаками на информационные сайты всех противоборствующих сторон. Кому же на руку втягивать Грузию и Россию, с и без того расшатанными отношениями, в новую вереницу событий, и кто стоит за чередой этих киберпреступлений на сайты России? Представители силовых ведомств, аналитики компаний по информационной безопасности и политики видят за этими атаками украинский след.

За последнюю неделю новостные ленты пестрили сообщениями о разворачивающемся военном конфликте в Южной Осетии. Между тем, театр боевых действий плавно переместился из реального в виртуальное пространство всемирной паутины, а мишенями стали известные интернет-порталы России, Грузии, Абхазии и Южной Осетии. Предпринятые DDos-атаки на сайты воюющих стран назвали "самыми крупными информационными войнами" за всю историю существования интернета.

DDos-атаки (Distributed Denial of Service - распределенная атака "отказ в обслуживании") в последнее время стали популярным инструментом политического давления. Так, в мае этого года произошла блокада эстонских государственных интернет-порталов, в июле пострадали сайты госкомиссии Литвы по служебной этике, где на главной странице появились изображения советской символики, недавно запрещенной в стране.

Функционал киберблокады прост. Для этого используется головной компьютер и компьютер-исполнитель, на который заранее закачена определенная программа. Множество таких зараженных компьютеров составляют сеть botnet (или зомби-сеть). "Количество компьютеров зависит от пропускной способности интернет-канала атакуемой стороны и мощности ее серверов. На среднестатистический новостной сайт, не использующий оборудования по защите от DDos, хватит ботнета из 10-20 тысяч компьютеров. На защищенные сайты нужно, по меньшей мере, 100 тысяч зомби-машин", - утверждает Виталий Камлюк, ведущий вирусный аналитик "Лаборатории Касперского". По словам Максима Эмма, представителя компании "Информзащита", реализация подобных атак стоит от нескольких сотен до нескольких тысяч долларов США, а для тех, кто атаки эти реализует, - это вообще ничего не стоит.

Доказать факт осуществления DDos-атаки достаточно сложно, если речь тем более идет о военном конфликте двух государств. Ведь отказ в обслуживании сайта вполне может быть связан с большим наплывом посетителей. "Могу предположить, что некоторые российские новостные сайты попросту не выдержали наплыва вполне реальных пользователей. Действительно, в дни вооруженного конфликта, внимание большей части наших соотечественников было приковано к происходящему. Повышенный интерес сопровождался и более частым просмотром новостей, обменом ссылкам. Возможно, некоторые сервера не выдержали нагрузки. Таким образом, я бы не стал утверждать, что во всех случаях имели место злоумышленные атаки", - говорит Владимир Ульянов, руководитель аналитического центра Perimetrix. Однако специалисты "Лаборатории Касперского" утверждают, что атаки имели место: "У нас есть информация об участии зомби-сетей в этих атаках. Однако масштабы нанесенного ущерба могут быть преувеличены в политических целях".

История вопроса

Первые ласточки кибервойны появились задолго до начала реальных боевых действий. 20 июля сайт президента Грузии Михаила Саакашвили (www.president.gov.ge) подвергся распределенной DDos-атаке. На интернет-портал обрушилось большое количество TCP, ICMP, и http-пакетов. Одним из сообщений в полученных пакетах была фраза "win+love+in+Rusia". DDos-атака началась в субботу утром и сделала сайт недоступным более чем на 24 часа. По данным ShadowServer.org, IP адрес территориально находится в США. В атаках сайтов грузинское правительство обвинило Россию, однако некоторые эксперты считают иначе. "Возможно в подобных акциях уличить Россию? Да, но что касается России, она играет честно и использует реальные бомбы, она могла бы атаковать стратегически более важные цели или уничтожить инфраструктуру", - говорит Гади Эврон, израильский эксперт по информационной безопасности, который помогал в отражении кибератаки на сайты эстонского правительства в мае этого года.

Основная волна блокады интернет-порталов началась же с введением войск России и Грузии на территорию Южной Осетии. В субботу утром в Грузии были отключены российские телеканалы. Во второй половине дня были заблокированы все интернет-сайты с доменом .Ru. Так, на сайте nukri.org, работающем в текстовом режиме из-за DDos-атак, в течение всей субботы появлялись сообщения о "русских оккупантах в огневом мешке", о Цхинвали, полностью освобожденном от российских войск, о взорванном Рокском туннеле. Ни одно из этих сообщений позже не было подтверждено независимыми СМИ.

8 августа были атакованы сайты Министерства иностранных дел Грузии, на главной странице которого появился коллаж из изображений Гитлера и Саакашвили, и ряд других правительственных ресурсов. Затем длительное время был недоступен сайт парламента Грузии, в настоящий же момент на нем красуется тот же самый коллаж, который был размещен на главной странице сайта МИДа Грузии, с подписью "И кончит он также...hacked by South Ossetia Hack Crew". Несколько дней отбивало DDos-атаки хакеров агентство "Новости-Грузия", прекратил работу сайт правительства Абхазии в изгнании.

Также сообщалось, что был взломан и практически уничтожен один из ведущих грузинских интернет-ресурсов "Грузия online", однако, работа его уже восстановлена. Редакция портала утверждала, что интернет-кабель, посредством которого Грузия общается со всем миром, "на сегодняшний день проходит через Россию".

Параллельно 8 августа началась блокада правительственных сайтов Южной Осетии http://cominf.org, http://os-inform.ru и http://osradio.ru. Именно через них распространялась официальная и неофициальная информация о происходящем в Цхинвали. И совсем не случайно была предпринята попытка блокировать эти сайты путем DDos-атак и сайтов-фальшивок.

Буквально в этот же день начинает поступать информация о кибератаке сайта day.az. По мнению редакции, причиной атаки на портал является позиция в освещении российско-грузинского конфликта. "В течение последних двух дней российские спецслужбы вывели из строя информационные и государственные сайты Грузии," - утверждает автор статьи информационного портала. По словам главного редактора day.az Эльнура Баимова, хакерские атаки с "российского направления" имели место с первого дня конфликта, но в настоящее время масштабы DDos-атак однозначно свидетельствуют о том, что речь идет о группе, которая регулируется из единого центра.

Между тем, 10 августа стал недоступен сайт российского информационного агентства "Риа Новости". 11 августа под блокаду попали сайты информационных агентств ИТАР ТАСС и REGNUM. Некоторое время был также недоступен российский новостной ресурс Lenta.Ru. Одновременно начала поступать информация о хакерской атаке ряда грузинских сайтов, которые продолжались в течение нескольких дней.

11 августа сайт президента Грузии Михаила Саакашвили перенесен на серверы американской компании Tulip Systems с целью защиты от хакеров, которые, начиная с 10 августа, осуществляют DDos-атаки на ресурс. По словам главы Tulip Systems, уроженки Грузии Нино Дожашвили (Nino Doijashvili), хакеры из России подвергают сайт DDos-атакам, начиная с субботы. Дожашвили находилась в Грузии в пятницу, 8 августа, когда начались боевые действия, и предложила правительству свою помощь. Вскоре после этого сайты president.gov.ge и ресурс крупной грузинской телекомпании rustavi2.com были перенесены на серверы Tulip Systems, сообщает CNews.

Кто виноват?

Определить нахождение головного компьютера исполнителя, с которого осуществлялась DDos-атака, а тем более заказчика практически невозможно. "Технически интернет позволяет атакующему находиться где угодно", - говорит Камлюк. Также по его словам отследить реального владельца ботнета не так просто. То, что в атаках были задействованы российские IP-адреса, вовсе не означает, что атакующие находились в России.

"Короткий этап боевых действий, а также ряд сетевых атак послужили источником многочисленных провокаций. Уже есть версии, будто за атаками на российские и грузинские web-ресурсы стоят украинские хакеры", - отмечает Ульянов. С ним согласен и неофициальный источник из правоохранительных органов, занимающихся борьбой с компьютерными преступлениями: "Мы предполагаем, что DDos-атаки сайтов Рунета производились украинскими специалистами".

Эксперты утверждают, что кто-то упорно старается втянуть в конфликт и Украину, тем более что обида на эту страну тоже имеет место быть. "Сначала украинцы продавали грузинам оружие, затем начали чинить препоны Черноморскому флоту", - говорит Ульянов.

Политики занимают более жесткую позицию в отношении DDos-атак на сайты России и Грузии, утверждая, что именно украинские и американские хакеры производили блокаду порталов Рунета. "В Грузии произошла социальная катастрофа, все, кто мало-мальски умеет зарабатывать деньги давно оттуда уехали. Соответственно, для того, чтобы что-то делать с компьютером - нужны мозги. Сейчас эта страна находится в таком состоянии, что мозгов там нет, - заявляет Михаил Делягин, директор Института проблем глобализации. - В то же время, союзником Грузии является Украина - в первую очередь, Ющенко и Тимошенко. Украина с точки зрения интернета - свободная территория. Здесь нет ни одного приличного дата-центра, поэтому США выполнять определенные манипуляции не с территории Грузии, а с территории Украины гораздо проще".

Источник статьи: SiliconTaiga