Взлом сервера mosaica.ru: спланированное преступление или хулиганская выходка?

10 января 2014 года стало черным днем для сайта mosaicа.ru. Серверы нашего ресурса оказались подвержены мощнейшей хакерской атаке и лишь через несколько дней удалось восстановить работу сайта. Последствия атаки интернет-взломщиков оказались настолько серьезными, что восстановительные работы продолжаются и по сей день. Но, как оказалось, не только наш сайт пострадал от хакеров. 
10 января оказался днем настоящего нашествия на сайты интернет-СМИ. РИА Новости, сайты газеты «Коммерсант», радио «Эхо Москвы», телеканала «Дождь» - это далеко не полный перечень крупных федеральных сайтов, по которым хакеры нанесли удар в минувшую пятницу. Кроме СМИ от рук сетевых преступников пострадали и другие крупные ресурсы. К примеру, сайты  компаний-разработчиков компьютерных игр League of Legends и EA.com. А в Подмосковье виртуальные взломщики вывели из строя камеры фотовидеофиксации. Попал ли под этот «рейд» хакеров сайт mosaicа.ru или это было простым совпадением, сказать сложно. Но и исключать этого не стоит. 
Что же может двигать хакерами, для чего им нужно взламывать те же сайты СМИ? И по какому принципу они выбирают своих жертв?
- Массовые атаки вполне могут быть чьими-то заказами, потому что те, что совершаются ради спортивного интереса, обычно довольно легко отражаются, - говорит заместитель шеф-редактора сайта kp.ru Виктор Канский. – Наш сайт испытывает на себе DDoS-атаки с 2012 года. Но благодаря нашим специалистам, если сайт и «ложился», то всего на несколько часов. Хотя, конечно, ущерб от этого был – мы теряли просмотры, теряли посетителей. Однако если у хакеров есть цель полностью уничтожить серверы, то она, можно сказать, недостижима. 
То, что руками хакеров могут осуществляться нападения разного рода конкурентов, подтверждает и руководитель ITECH.group Александр Щербина. 
- Мы сталкивались со случаями, когда на серверы игры шли атаки со стороны разработчиков конкурирующих продуктов, - говорит он. – При этом массовые атаки вообще бывают нечасто. А мотивы у них могут быть самые разные. 
Если говорить об атаках 10 января, то в Сети появились сотни предположений о том, что могло стать поводом. Была версия политическая – ее сторонники обращали внимание на то, что в числе пострадавших либеральные ресурсы «Дождь» и «Эхо Москвы». Правда, в эту версию не особо вписываются РИА Новости, да и неинформационные порталы имеют к политике мало отношения. К примеру, что политического в игре Need for Speed? 
Была версия экономическая – мол, некто попытался нанести мощный удар сразу по многим ресурсам, а потом, когда они рухнут, взять их да и скупить. Но если эта версия верна, то некто больше потратился, чем заработал, потому что федеральные сайты перед ударом устояли. А региональные, как можно заметить по mosaicа.ru, хоть и пострадали серьезно, но, «залечив раны», восстанавливаются. 
Была версия «китайская», что 10 января на Рунет пошли войной пресловутые китайские хакеры. 
Но какая версия верна, может стать известно лишь в том случае, если удастся узнать, кем же именно были хакеры, пытавшиеся взломать серверы. 
- Интернет-взломщиков вычислить, конечно, можно, но это очень сложно, - говорит Александр Щербина.
Похожее мнение у специалистов «Лаборатории Касперского».
- В последнее время правоохранительные органы стали уделять все больше внимания киберпреступникам, и то, что задержания подозреваемых в совершении киберпреступлений стали происходить чаще, безусловно, позитивная тенденция. Тем не менее остается открытым вопрос о дальнейшей судьбе задержанных – кто-то из них получил реальные приговоры, а кто-то - нет. Знаковые события 2013 года, оказавшие серьезное влияние на российский киберкриминальный рынок, - это арест владельца набора вредоносных программ хакера Paunch и операция Microsoft против ботсети Citadel. В то же время, по нашим наблюдениям, большинство «игроков» преступного рынка продолжили свою деятельность. Мы считаем, что по-настоящему значимый перелом случится, когда расследования преступлений в сфере компьютерной информации поставят на поток.
Можно выделить ряд сложностей, возникающих при расследовании инцидентов в России. Прежде всего, у нас в стране трудно доказать сам факт преступления, преступление не всегда соответствует ответственности, к которой могут привлечь злоумышленника. В основном, они проходят по статьям 272 и 273. Это статьи небольшой тяжести, максимальное наказание по ним – тюремный срок до 7 лет. Нет подготовленного следственного аппарата – в органах, к компетенции которых относится расследование компьютерных преступлений, нет специальных подразделений и специалистов, обладающих глубокими техническими знаниями, - говорит руководитель отдела расследования киберпреступлений - руководитель отдела расследования компьютерных инцидентов «Лаборатории Касперского» Руслан Стоянов. 
Если же говорить о том, насколько остро стоит проблема хакерских, и в особенности DDoS-атак, то тут представители ИТ-сферы сходятся во мнении, что проблема эта как была острой, так и остается. 
- Атаки на серверы как были, так и продолжаются. При этом средства и хакеров, и защиты от них совершенствуются постоянно, - говорит Александр Щербина. – В этом случае чья-то сторона не перевешивает. Если бы верх брали хакеры, то не было бы работающих серверов. А если бы те, кто занимается защитой от них, - то не было бы никаких атак. 
При этом специалисты «Лаборатории Касперского» пояснили, что DDoS-атаки на сегодня - один из излюбленных методов хакеров:
- Причин здесь несколько. Во-первых, DDoS-атаки легко организовать – к сожалению, на сегодняшний день в России практически любой человек может при определенных усилиях и довольно небольших затратах получить реально работающий инструмент для совершения киберпреступления. Организация атак подобного рода достаточно проста в техническом плане, а в Интернете встречаются предложения продать уже готовые и реально работающие ботнеты. Во-вторых, защита от DDoS  –  очень непростая задача и, соответственно, не дешевая для бизнеса, - говорит руководитель проекта Kaspersky DDoS Prevention Алексей Афанасьев. - Хотелось бы отметить, что  мощность DDoS-атак в последнее время резко увеличилась, что свидетельствует о том, что злоумышленники легко справляются с защитой начального уровня и освоили более сложные приемы. При простейшей защите киберпреступники задействуют более совершенные в техническом плане средства: то есть, если веб-портал изначально имеет систему защиты от DDoS и «не сдается» под натиском небольшой атаки, злоумышленники просто увеличивают мощность до критических показателей, когда слабое защитное решение уже не способно адекватно противодействовать. Так, по данным «Лаборатории Касперского», если во второй половине 2012 года средняя мощность атаки составляла 34 Мб/с, то в начале 2013 года планка поднялась до 2,3 Гб/с. При этом получившие в Рунете популярность атаки типа UDP Flood с использованием DNS Amplification (специального метода, имеющего «плечо» – коэффициент усиления) по мощности превышали даже 60 Гб/с. Помимо мощности выросла и продолжительность атак. Если в конце 2012 года специалисты «Лаборатории Касперского» установили, что средняя атака длилась 7 часов, то в 2013 году они отметили, что этот показатель поднялся до 14 часов. 
В целом можно отметить, что сейчас злоумышленники пытаются использовать любые методы и средства, чтобы получить деньги, поэтому ждать спада DDoS-атак не стоит.

Но, как бы то ни было, последствия хакерских атак устранимы. В чем вы сейчас и можете убедиться, читая эту статью на сайте mosaicа.ru

Игорь УЛИТИН

Фото Екатерины Эйрих