РБК daily: как организовать DDoS-атаку и сколько это стоит?

Толковый словарь

Пока московская оппозиция только готовилась к митингу на Болотной площади, в Рунете уже вовсю развернулись «военные» действия. В разгар публичного обсуждения результатов выборов и демонстраций хакер­ским атакам подверглись крупнейшие столичные медиаресурсы. Среди них оказались «Живой журнал» (ЖЖ), сайты радиостанции «Эхо Москвы», газеты «Коммерсантъ», журналов The New Times и «Большой город», интернет-ресурс «Слон». Легко ли организовать хакерскую атаку подобного масштаба? Кто стоит за такими акциями? Во сколько могут обойтись сутки бездействия сайта популярной газеты?

Как заказать DDoS?

Прекратить работу любого популярного сайта можно при помощи множественных запросов с различных компьютеров к одному и тому же ресурсу (Distributed Denial of Service, DDoS-атака). Разумеется, запросы выполняют не люди, а компьютеры. В результате сайт-жертва просто не выдерживает объема посетителей и выдает т.н. «отказ в обслуживании». Хакеры, которые организуют подобные атаки, в настоящее время преследуются по закону.

Однако контакты профессионалов в этой области можно найти, сделав простейший запрос «заказ DDoS» или «DDoS-сервис» в любом поисковике – Яндекс, Google и др. Как правило, в качестве контактной информации хакеры указывают номера ICQ, по которым можно получить дополнительную консультацию относительно стоимости заказа и сроков исполнения.

В качестве примера сотрудники РБК daily просили организовать атаку на ресурсы www.rbcdaily.ru и www.vedomosti.ru c 9 декабря сроком на пять суток. Как выяснилось, прайс-листы на DDoS-атаки очень разнятся. В одной из служб предложили «уложить» оба сайта «тысяч за десять долларов». В другом сервисе сообщили, что первые сутки услуга стоит 100 долл. за оба сайта. «Потом, если они начнут сопротивляться, бегать по серверам, фильтровать файерволами, пользоваться анти-DDoS-услугами или раздувать шумиху, цена может немного вырасти. Если все будет спокойно, то так и останется», – сообщил оператор сервиса. При «очень сильной шумихе» цена составляет 200-220 долл. за сутки. Еще одна служба, предлагающая услуги DDoS, назначила цену в 1000 долл. в сутки за один ресурс.

«Был бы интернет-магазин, стоило бы еще дешевле», – пояснили в одном из сервисов. Как правило, именно сайты интернет-магазинов атакуют при помощи DDoS. Заказчики в таких случаях – чаще всего ближайшие конкуренты.

Оплата подобных услуг происходит посредством использования электронных кошельков, как правило WebMoney. Это гарантирует анонимность и исполнителю, и заказчику. А вот гарантий выполнения заказа никто заранее не дает. Один из сервисов предложил использовать следующую схему работы: заказчик перечисляет на счет исполнителя небольшой задаток, затем хакеры «кладут» ресурсы на 30 минут, а уже после происходит доплата. Доплату также можно производить не целиком, а перечислять деньги за каждые следующие сутки.

Кто «положил» ЖЖ и сайт ЦИК

РБК daily удалось связаться с человеком, который называет себя организатором атаки на «Живой журнал». Он не назвал своего имени, но в разговоре, который проходил по Skype, сообщил, что атака была организована при помощи ботнета под названием СССР. «Этот ботнет создавался группой хакеров, которые действовали по собственной инициативе. Все они выходцы из СССР, но на данный момент не проживают в России. Именно поэтому ботнет и получил такое название. Нашей целью было опробовать ботнет, который затем мы выставили в открытую продажу: теперь им может воспользоваться любой, кто готов заплатить 500 долл. В результате удалось на полтора часа «положить» ЖЖ. Все, что происходило затем, – технические проблемы самого ресурса», – настаивает источник.

Источник сообщил, что команде из трех человек понадобилось всего 500 ботов для того, чтобы нейтрализовать ресурс. «Для сравнения, чтобы «положить» «ВКонтакте», по нашим оценкам, нужно не менее 200 тыс. ботов. Именно поэтому до сих пор никто из хакеров этого не смог сделать: нужна кооперация, которой нет среди тех, кто организует DDoS в России», – рассказывает источник.

Представитель SUP Илья Дронов не берется судить о причинах атаки, однако говорит, что ЖЖ атаковали в течение нескольких дней. Он не сомневается в мощности собственной сети. «Мы работаем на собственных серверах, они находятся в штате Монтана, за границей», – говорит И. Дронов. По его словам, руководство «Живого журнала» готовит документы, чтобы передать их в МВД и расследовать дело.

В день выборов были атакованы также и официальные сайты ЦИК и «Единой России». Источник РБК daily нашел тех, кто утверждает, что организовал их: «Это одиночки, которые выражают таким образом свою гражданскую позицию. У хакеров тоже есть принципы. Кто-то приходит на площадь, кто-то укладывает сайт «ЕдРа». Вы очень удивитесь, но это простые ребята, которые таким образом выражают свое мнение, сидя на кухне в трусах и попивая пиво».

При чем тут «Голос»?

Создатель «Антивируса Касперского» Евгений Касперский уверен, что многие сайты, работа которых была приостановлена, пострадали от большого количества посетителей. «Не исключен сценарий, что перегретые политической жизнью граждане с активной позицией «закликали» раскрученные политизированные сайты. То есть эти ресурсы вполне могли стать жертвой своей популярности (кстати, с нами самими пару раз такое тоже случалось). Лечится это увеличением бюджета IT-подразделений и переводом сайта на более «тол­стый» канал, на «железо» получше, а еще лучше – побольше «зеркал» в разных регионах», – написал в личном блоге Е. Касперский.

Однако участник одной из московских хакерских групп говорит, что если DDoS ЖЖ не имел политических мотивов, то атака на сайты медиаресурсов, в т.ч. The New Times, «Большого города», «Ридуса» и «Слона», «очень похожа» на спланированную акцию. «Скорее всего, это одно из молодежных движений типа «Наших». По крайней мере если «политические» заказы и поступают, то чаще всего от подобных групп», – говорит источник.

Пресс-секретарь «Наших» Кристина Потупчик категорически отрицает причастность организации к DDoS-атакам и угрожает судебным разбирательством в случае упоминания «Наших» в связи с DDoS-атаками.

Гендиректор «Слона» Максим Кашулинский предполагает, что последняя DDoS-атака может быть связана с поддержкой ряда медиаресурсов проекта «Голос». «Мы точно знаем, что это не технические проблемы. Атака шла с компьютеров, расположенных в Индии и Пакистане. В момент атаки роста числа пользователей не было», – поясняет М. Кашулинский.

Главный редактор «Эха Москвы» Алексей Венедиктов рассказал, что сайт радиостанции также был атакован в основном с ПК, расположенных за рубежом, в т.ч. из США, Франции, Бразилии. А. Вендиктов предполагает, что атака не была непосредственно связана с «Голосом», но была направлена на те ресурсы, которые публиковали свидетельства фальсификации выборов, прошедших накануне 4 декабря.

Главный редактор «Большого города» Филипп Дзядко говорит, что ему неизвестны технические подробности, связанные с атакой на ресурс «Большого города». «Однако я не сомневаюсь в том, что это спланированная акция. Атака впервые произошла в тот момент, когда мы начали публиковать свидетельства фальсификации на выборах. Кроме того, в понедельник, когда атака продолжилась, мы публиковали информацию о митинге, проходившем в Москве», – говорит Ф. Дзядко.

Ознакомиться с другими новостями по данной тематике вы можете в рубрике Безопасность

По материалам РБК daily