У меня нет учетной записи на ЖЖ, но я его иногда читаю в перерывах между работой. 4 апреля провести послеобеденное время за чтением постов не получилось — ЖЖ был недоступен из-за DDoS-атаки, о которой официально сообщил руководитель LiveJournal Russia.
Это уже вторая массовая DDoS-атака на ЖЖ за последние несколько дней, и в средствах массовой информации Рунета муссируется масса слухов о целях и причинах атаки.
Мы не знаем точно, сколько ботнетов принимают участие в организации атаки, но нам доподлинно известен по крайней мере один такой ботнет. Он построен на основе DDoS-бота Darkness/Optima, весьма популярного в данный момент на черном рынке русскоязычной киберпреступности. На продажу предлагаются не только троянские программы (боты), но и построенные на их основе сети зараженных машин, а также услуги по проведению DDoS-атак на указанный ресурс в интернете.
Один из таких Optima-ботнетов уже некоторое время находится под нашим наблюдением.
Анализ данных мониторинга показал, что первая DDoS-атака на ЖЖ была осуществлена ещё 24 марта. Владельцы ботнета отдали команду на проведение атаки на адрес блога Алексея Навального: http://navalny.livejournal.com. 26 марта боты получили команду старта атаки на еще один ресурс известного борца с коррупцией — http://rospil.info, а 1 апреля атаке подвергся сайт http://www.rutoplivo.ru.
В следующей таблице представлены ссылки, получаемые ботами для старта DDoS-атак, в период с 24 марта по 1 апреля:
24.03.2011 | http://navalny.livejournal.com |
25.03.2011 | http://navalny.livejournal.com |
25.03.2011 | http://navalny.livejournal.com/569737.html |
25.03.2011 | http://www.livejournal.com/ratings/posts |
26.03.2011 | http://navalny.livejournal.com |
26.03.2011 | http://rospil.info |
29.03.2011 | http://rospil.info |
30.03.2011 | http://www.kredo-m.ru |
30.03.2011 | http://navalny.livejournal.com |
01.04.2011 | http://www.rutoplivo.ru |
Стоит отметить, что впервые о DDoS-атаке представители LiveJournal заявили 30 марта. В этот день мы фиксировали атаку посредством ботнета Optima только на navalny.livejournal.com. А вот 4 апреля боты получили внушительный список, включающий в себя ссылки на блоги многих популярных пользователей данного сервиса:
http://www.livejournal.com
http://www.livejournal.ru
http://sergeydolya.livejournal.com
http://shpilenok.livejournal.com
http://tema.livejournal.com
http://radulova.livejournal.com
http://marta_ketro.livejournal.com
http://pesen_net.livejournal.com
http://doctor_livsy.livejournal.com
http://pushnoy_ru.livejournal.com
http://navalny.livejournal.com
http://dolboeb.livejournal.com
http://olegtinkov.livejournal.com
http://mi3ch.livejournal.com
http://belonika.livejournal.com
http://mzadornov.livejournal.com
http://tebe_interesno.livejournal.com
http://tanyant.livejournal.com
http://eprst2000.livejournal.com
http://drugoi.livejournal.com
http://stillavinsergei.livejournal.com
http://kitya.livejournal.com
http://vero4ka.livejournal.com
http://zhgun.livejournal.com
http://zyalt.livejournal.com
http://fritzmorgen.livejournal.com
http://miss-tramell.livejournal.com
http://sadalskij.livejournal.com
http://becky-sharpe.livejournal.com
http://roizman.livejournal.com
http://alex-aka-jj.livejournal.com
http://alphamakaka.livejournal.com
http://borisakunin.livejournal.com
http://kungurov.livejournal.com
http://plucer.livejournal.com
http://twower.livejournal.com
Специалистам в русскоязычной блогосфере должно быть очевидно, что в списке находятся блоги самых разных людей, пишущих о совершенно разных вещах и являющихся одними из самых популярных авторов, так называемыми «тысячниками». Было ли это попыткой “размыть” реальную цель атаки, которая явно была обозначена среди первых попыток DDoS, или список неугодных блогов стал шире — нам неизвестно.
Если внимательно посмотреть на список целей данного ботнета, то из общего ряда выбивается атака на сайт kredo-m.ru, компании занимающейся изделиями из дерева и мебелью. Этот факт дает возможность предположить, что владельцы ботнета действительно продают свои услуги по DDoS-атакам всем желающим и атаку могли заказать, как это часто бывает, конкуренты по бизнесу.
Стоит написать пару слов о виновнике атак – боте Optima. Впервые на русскоязычном киберпреступном рынке он появился в конце 2010 года, достаточно быстро набрав большую популярность. Функционал данного бота помимо возможности осуществления DDoS-атак включает в себя также загрузку других исполняемых файлов и кражу паролей от многих популярных программ (FTP-клиентов, IM, почтовых клиентов, браузеров, и др.).
Что же касается размеров ботнета, то у нас нет такой информации, однако есть косвенный факт, который может прояснить этот вопрос. В период проведения DDoS-атак, описанных выше, боты Optima также получали команду на загрузку новых версий Trojan-Downloader.Win32.CodecPack. Об этой интересной вредоносной программе вы скоро сможете прочитать подробнее в нашей отдельной аналитической статье-исследовании.
Распространение через ботнет еще и CodecPack’а говорит о том, что ботнет большой – поскольку его владельцы принимают (и получают) заказы на «загрузку» других вредоносных программ. Учитывая размах работы владельцев CodecPack, можно смело сказать, что «работать» они будут только с одним из крупных ботнетов на рынке. А это, скорее всего, десятки тысяч инфицированных машин.
Мы весьма удивлены тем, что представители LiveJournal до сих пор не обратились в правоохранительные органы с заявлением по поводу атаки: «Мы не обращались в российские правоохранительные органы с заявлением о возбуждении уголовных дел, однако не исключаем такой возможности», — заявила руководитель Livejournal Russia Светлана Иванникова. Более того, в СМИ звучат заявления о том, что «такое уголовное дело не имеет перспективы». C нашей точки зрения, в данной атаке налицо все признаки преступления, классифицируемого по 273 статье УК РФ «Создание и распространение вредоносных программ». У российских правоохранительных органов и судов уже накоплен хороший опыт применения этой статьи.
LiveJournal под атакой