DDoS от самых маленьких

Услугами нашего сервиса защиты от DDoS-атак пользуются самые разные организации – коммерческие компании, государственные учреждения, банки, средства массовой информации. В большинстве случаев мотивация злоумышленников, атакующих сайт какой-либо организации, достаточно прозрачна: DDoS используется как средство конкурентной борьбы, применяют его и по причинам политического характера.

Однако есть и другие интересные категории клиентов, которые, как кажется, не должны интересовать злоумышленников. Так, образовательный портал республики Татарстан, на первый взгляд не представляет никакого интереса ни с политической, ни с финансовой точек зрения. Тем не менее, он уже больше года подвергается постоянным DDoS-атакам разных типов, варьирующейся мощности и продолжительности. Так как все это время портал находится под нашей защитой, злоумышленники не добились ни малейшего успеха, но это их почему-то не останавливает. С таким упорством мы сталкиваемся нечасто – как правило, DDoS-атаками занимаются профессионалы, время и ресурсы которых не бесплатны, потому столкнувшись с защищенным сайтом они перебирают доступный инструментарий и, в случае неудачи, прекращают атаку, чтобы не терять деньги впустую. Но в рассматриваемом случае все не так, и это нас заинтересовало – что же заставляет наших неизвестных оппонентов вновь и вновь осуществлять безрезультатные попытки «положить» образовательный портал?

Но начнем немного издалека. Почерк злоумышленников говорит о том, что они не слишком искушены в своем деле: большинство атак были недолги, незамысловаты и относительно слабы. Хотя стоит отметить, что зачастую, обнаружив недейственность избранной тактики, злоумышленники меняли тип атаки, которые периодически достигали внушительной мощности. В последнее время, отчаявшись добиться успеха более «тонкими» средствами, наши оппоненты перешли на мощные UDP-атаки с отражением – NTP Amplification и подобные. Так, 4 марта этого года неизвестные в течение 42 минут осуществляли атаку мощностью 10 Гбит/с, а 20 августа сумели показать уже 19,8 Гбит/с

Однако это по-прежнему ничего не говорит нам об их мотивах. Атакам подвергались сайты edu.tatar.ru и tol.edu.tatar.ru, потому принцип «скажи мне, кто твоя жертва, и я скажу, кто ты» вел в очевидный тупик. Первый сайт – образовательный портал, на котором можно посмотреть оценки и расписание занятий, второй – и вовсе онлайн-учебник татарского языка. Кому могло понадобиться «атаковать» учебник? Все это никак не вязалось с используемыми современными методами и завидной настойчивостью атакующих.

Как говаривал Шерлок Холмс, «отбрось невозможное, оставшееся невероятное и будет ответом». Обнаруженная группа в «ВКонтакте», посвященная DDoS-атакам на нашего клиента, оказалась населена… учащимися различных учебных заведений Татарстана. Описание группы гласит: «Каждый день в 14:00 ДДосим сайт еду татар…». Невероятно, но это, видимо, и есть наши загадочные злоумышленники.

Правда, на отпетых злодеев участники группы не очень похожи. Да, они обсуждают тактику атак на ненавистный им сайт и предлагают всем желающим присоединиться, для чего нужно лишь установить специальную программу. Но количество активных участников группы невелико, да и мотивация по-прежнему не очень ясна даже для самих участников: на стене группы опубликованы резонные вопросы «Зачем его досить? Оценки как смотреть?», остающиеся без ответа.

Но теперь мы знали, что именно надо искать. Изучив выдачу поисковых систем на темы «ддос edu.tatar.ru» и «взломать edu.tatar.ru» мы выяснили, что запросы о том, как пресечь работу edu.tatar.ru, пользуются большой популярностью. К примеру, на одном из порталов вопросов и ответов между вопросами о том, как убрать отражение в зеркале и как завладеть миром, уже третий год висит отчаянный призыв «Помогите пожалуйста. Хочу убрать смс рассылку с сайта edu.tatar.ru, а то надоело ругают за плохие оценки!!». Вот и возможный мотив.

Что интересно, на запрос про рассылку оценок на сайтах edu (образовательные порталы) в верхних строчках выдаются посторонние рекламные сайты, что говорит о применении метода отравления поискового движка. А это, в свою очередь, свидетельствует прежде всего о большой частоте запросов такого рода.

Так детективная история обернулась фарсом. Студенты и школьники, с усидчивостью, натренированной на уроках и в корейских MMORPG, из года в год атакуют, как они думают, источник своих проблем – сайт, оповещающий родителей о полученных их чадом оценках. Но при всей комичности ситуации, из нее напрашиваются весьма тревожные выводы.

Главный вывод – современные тактики DDoS-атак «пошли в народ». Инструменты, позволяющие организовать атаки с усилением, достигающие значительной мощности, стали общедоступны – их уже не просто задешево продают, их раздают бесплатно! В свою очередь, стремительно ширится диапазон целей, теперь подвергнуться мощной DDoS-атаке может не только сайт, всерьез мешающий кому-то, но и любой портал, вызвавший недовольство нескольких более-менее грамотных в области DDoS интернет-пользователей.

А ведь даже простая и не слишком сильная DDoS-атака – это серьезная угроза для неподготовленного ресурса. Статистика, собираемая нашей системой мониторинга DDoS (DDoS Intelligence) показывает, что успешные атаки могут непрерывно продолжаться недели и даже месяцы, пока цель не понесет достаточный, с точки зрения злоумышленников, ущерб, или не обзаведется защитой. В данном случае студенты имели все возможности для того, чтобы надолго блокировать работу ненавистного им сайта, что и произошло бы, не будь он защищен с помощью Kaspersky DDoS Prevention.

В то же время участники и организаторы атак вполне могут не догадываться о существовании законов, направленных на противодействие киберпреступности, в том числе DDoS-атакам. Иначе говоря, уже сейчас таким вот «хакерам-энтузиастам» грозит не просто вызов родителей в школу, и даже не отчисление из учебного заведения, а вполне реальное уголовное дело.

Невинные, казалось бы, действия «вступил в группу «ВКонтакте», скачал программу, запустил в условленное время, ушел гулять» считаются уголовным преступлением, и незнание изданных на этот счет законов не освободит от ответственности ни самого незадачливого учащегося, ни его родителей. Последним грозит, как минимум, возмещение финансового ущерба, причиненного их чадом владельцу атакованного ресурса. А ущерб может оказаться значительным – от 52 до 444 тысяч долларов США (http://www.anti-malware.ru/news/2015-03-12/15762). И организаторам, и участникам этих атак остается лишь надеяться на то, что пострадавший не подаст заявление в полицию или управление «К» МВД не заинтересуется этим делом самостоятельно.