DDoSтану кожного!

Не только нами замечено: в перечне грязных методов борьбы за депутатские мандаты в эту парламентскую компанию кибертехнологии занимают особое место. Их массовое применение некоторые эксперты даже называют трендом выборов-2012 . Конечно, на фоне штурмов «Беркутом» окружных избиркомов или, еще раньше, откровенного жульничества при формировании комиссий, малопонятные основной массе избирателей шалости в не всем еще доступном и не всеми востребованном Интернете могут показаться мелочью. Причем наш народ и партии в расхожем мнении едины: взломы сайтов и почтовых ящиков, сетевые и DDоS-атаки воспринимаются не как преступление, а просто как технология, с которой якобы невозможно бороться. Но мир цивилизованный - который на один уровень угроз сегодня ставит киберпреступность и терроризм - от нашей легкости отношения к этому являению должен быть в шоке. С одной стороны - настоящий киберразбой на службе у политиков государства в центре Европы, с другой - блокирование свободы слова в самом пока что свободном информпространстве Украины. Хотя, конечно, чувство ужаса и протеста должно было охватить каждого из нас, граждан страны, катящейся к авторитаризму и разрешенному призволу одновременно.

«Технические» неполадки

Списывать все на «черных» технологов, которым «нашу страну не жалко», конечно же, наивно и глупо. Вся грязь и противозаконные методы, которые использовали технологи, без сомнения, были санкционированы политиками - партийными вождями разного калибра, кандидатами или руководителями их штабов, которые выступали заказчиками и оплачивали заказы на взломы почтовых ящиков, рассылку спама и DDоS-атаки. Оплачивали, естественно, не из избирательных фондов, а «черным налом» из «черных» касс, то есть грязными деньгами, тем самым поднимая уровень политической коррупции в стране на новые высоты.

Богатый арсенал криминальных методов и приемов вкупе с прайсами на услуги и работы сначала открылся широкой публике в Одессе. Следствием одного преступления - взломов почтового ящика и аккаунта в соцсети российского технолога Семена Уралова, работавшего в штабе лидера «Родины» Игоря Маркова, стал огромный массив информации, имеющей общественный интерес, а именно свидетельства других преступлений и ведения нечестной конкурентной борьбы. Среди них: организация DDоS-атак на недружественные ресурсы, рассылка спама и телефонный троллинг от имени конкурента, создание подставных аккаунтов в соцсетях и т.д. Сам Уралов, подтверждая взлом почты и своего аккаунта, подозревает в этом конкурента Маркова Алексея Гончаренко, нелюбого сына мэра Одессы Костусева, но отрицает участие в сомнительных разработках.

Следом за Uralovleaks, который продолжал пополняться все новыми публикациями, подобный скандал разразился в Крыму. Источником новых познаний в «черных» технологиях стала переписка людей с именами главного пиарщика крымского штаба Партии регионов Игоря Шпилея и кандидатов от технических партий, работавших против конкурентов регионалов в симферопольских округах.

Все адресанты свою причастность к опубликованному отрицали. И немудрено: «деловая» переписка представителя заказчика и исполнителей содержит тексты грязных публикаций в интернет-ресурсах и, собственно, создание таковых (реанимация сайта для публикаций «компромата» на лидеров оппозиции), регистрации клона общественного движения, а также сметы на оплату агитации наличными и даже жалобы на то, что в штабе регионалов «бабло зажимают».

Переписку обнародовал лидер партии «Союз» Лев Миримский, против которого также были задействованы эти технологии и который, к слову, стал единственным нерегионалом, победившем в мажоритарном округе в Крыму. Борьба с этим же кандидатом, судя по заявлению крупнейшего украинского хостера, могла быть причиной мощной волны DDoS-атак. Как сообщал в интервью президент MiroHost Александр Ольшанский, атаки начались за несколько дней до дня голосования. 25 октября были зафиксированы 16 одновременных атак различных типов на разные ресурсы, а 27 октября, по словам Ольшанского, произошел беспрецедентный случай: в компанию дважды позвонил неизвестный, требуя отключить сайт Миримского, угрожая атакой не только на него, но и на остальные ресурсы MiroHost.

Ночные звонки от имени конкурентов, казалось, уже давно забытый пещерный пиар времен проводных телефонов. Ан нет, и эта пакость понадобилась, причем во всеукраинском масштабе - людей будили и терроризировали рекламой от оппозиции и Юлии Тимошенко лично, песенкой «выборы, выборы», а то и просто беспрерывным набором. На телефон крымского медиаюриста Арсена Османова, заявленный накануне для круглосуточной правовой горячей линии для журналистов, с двух до восьми часов утра поступило 620 звонков. Но главная технология касалась независимых новых медиа - источников неконтролируемой властью и партийными штабами информации.

«Сайтоповал»

Жервы октябрьских DDoS-атак (а есть основания говорить о нескольких волнах) можно разделить на три условные категории. Это Интернет-представительства госорганов, партий и кандидатов, второй эшелон - сайты общественных организаций, ведущих мониторинг нарушений во время избирательной кампании, в том числе и методом краудсорсинга - о нарушениях сообщали избиратели. И третий отряд, попавший под атаки, - средства массовой информации, причем, что немаловажно, могущих вести прямые онлайн-трансляции с любого конфликтного очага без особых финансовых и технологических затрат.

1. Сайты политиков, партий и государственные интернет-ресурсы

Разрозненные сообщения об атаках на сайты партий и личные сайты политиков поступали всю избирательную кампанию, но волны, накрывающие одновременно несколько сайтов, пошли в октябре. 16 октября, по сообщению Крымской организации Партии регионов, была совершена попытка взлома ее сайта, а затем был создан его клон, на котором опубликовали ложное заявление лидера крымских регионалов Анатолия Могилева. 17 октября в результате DDoS-атак «легли» сайты партий «Батьківщина», «Фронт змін» и персональные сайты Юлии Тимошенко и Анатолия Гриценко.

28 октября с 13.00 список атакованных ресурсов расширился.

«DDoS-ударами хакеры завалили мой персональный сайт. Также персональные сайты Тимошенко, Турчинова и Яценюка. Власть, видимо, решила к фальсификациям на участках добавить еще и компьютерные игрища с сайтами оппозиционеров? Работаем над восстановлением работы сайтов, но бьют не «чайники» - профессионалы», - писал А.Гриценко в Facebook.

В свою очередь пресс-служба ПР заявила об атаке в это же время на свой официальный сайт, обвинив оппонентов в блокировании достоверной информации и провокации.

30 октября Государственная служба специальной связи и защиты информации Украины сообщила, что в день выборов с 16.04 DDоS-атака также велась на сайты Центральной избирательной комиссии (ЦИК) и президента Украины. Как уточнил ZN.UA руководитель пресс-службы ведомства Юрий Конопацкий, атак было несколько. Кроме того, в этот же день было зафиксировано свыше 2300 сетевых атак, «успешная реализация которых могла привести к нарушению целостности и достоверности информации на сайтах президента и ЦИК».

2. Сайты общественных организаций, ведущих мониторинг соблюдения избирательных прав

Сайты Гражданской сети «ОПОРА», сайт и два избирательных проекта Комитета избирателей Украины, проекты «Интерньюз-Украина» Electua.org и сайта «Майдан» были атакованы часом позже партийных сайтов - приблизительно в 14.00. В результате «ОПОРА» вынуждена была перенести обнародование оперативного статистического подсчета голосов, поскольку, как сообщалось, сайт и сервер, на котором обрабатывалась информация и хранилась база данных нарушений, были недоступны.

Как сообщил ZN.UA руководитель пресс-службы сети «ОПОРА» Юрий Хорунжий, чтобы донести информацию, пришлось задействовать другие каналы распространения информации - рассылка, социальные сети. По его словам, атака продолжалась вплоть до среды, в ней участвовало до 3 тысяч ботов. Временные и технические параметры атак на ресурсы «ОПОРЫ» и «Интерньюз-Украина», которые находятся на разных серверах, у разных хостеров и в разных странах, по словам представителей ОО, практически совпадают.

3. И, наконец, последний пул жертв «сайтоповала» - новые медиа, интернет-издания

К сожалению, ни одна из мониторинговых организаций и групп пока не обнародовала сводную информацию о том, сколько интернет-изданий было подвержено атакам во время избирательной гонки и конкретно - в день выборов. Будем надеяться, в финальных отчетах мониторингов эта информация найдет свое отражение, поскольку киберпреступление в этих случаях прирастает еще одной статьей УК - 171, предполагающей ответственность за препятствование профессиональной деятельности журналистов.

Характерная деталь: многие СМИ, которые подверглись атаке 28 октября, имели своего рода предвестники - звонки с предложениями/угрозами, взломы в середине месяца или накануне дня голосования, и атаки не прекратились по его окончании.

Константин Леонтьев, генеральный директор ЧАО «Инфинсервис» в официальном комментарии сообщал, что DDoS-атака на финансовый портал FINANCE.UA началась 26 октября. «В последнее время к нам поступали звонки с анонимными предупреждениями и просьбами остановить часть сервисов или портал в целом. Разумеется, мы не договорились. Звонки прекратились и сразу началась DDoS-атака», - сообщал К.Леонтьев.

Со второго ноября начались мощные атаки на сайт Lb.ua, сообщает шеф-редактор издания Соня Кошкина на своей странице в Facebook. «Нас много раз атаковали, но такого, по словам специалистов, еще не было», - пишет шеф-редактор, не находящая ответа на вопросы: кому это надо и почему сейчас, то есть после выборов. Об атаках на свои порталы в день выборов также заявляли два российских информагентства, имеющие в Украине представительства - «РБК» и «Новый регион», крымский сайт которого подвергается атакам с завидной регулярностью. Кроме того, в Крыму надоступными стали сайты ТРК «Черноморская», еженедельника «События» и «Соціальна країна» - СМИ из условного медиахолдинга лидеров крымских бютовцев А.Сенченко и Л.Денисовой.

В волну с 13.00 в день голосования были атакованы 10 интернет-ресурсов самой крупной медиаорганизации Юго-Востока Украины - ОО «Информационный пресс-центр» (ІРС). Недоступными стали портал «Центра журналистских расследований», сайты шести медиацентров в городах полуострова и проект ІРС-Севастополь «Гражданская оборона». 29 октября атака прекратилась, однако во вторник, 30-го возобновилась и длилась до воскресенья! Момент, на который мы уже обращали внимание - DDoS-атаке в день выборов предшествовала попытка взлома сайта. Случилось это с сайтом «Центр журналистских расследований» через 15-20 минут после опубликования статьи «Как заполучить 40 процентов поддержки избирателей», с раскрытием содержания инструктажа штабистов крымских регионалов по технологиям мобилизации электората, о чем ZN.UA также писало. Вследствие взлома статья по доступности вела себя как чеширский кот, то исчезая совсем, то появляясь, но без слова «регион» в тексте.

Судить о природе и причинах этих DDoS-атак автору легко, поскольку являюсь председателем правления этой организации и руководителем Центра журналистских расследований и могу со всей полнотой ответственности сказать, что эти ресурсы - фактически единственные в Крыму, кто не «джинсовал», не выполнял команды и просьбы из штабов и кто уже третьи выборы проводит расследования финансирования политических кампаний. Но, конечно же, этот материал пишется не только по причине собственных проблем. Обсуждение с коллегами ситуации, в которой в кибервойну были втянуты и сайт ЦВК, и партийные сайты, и проекты общественных организаций - наблюдателей, и независимых СМИ, приводит к мысли о необходимости крепко и солидарно задуматься, каким образом этой беде противостоять.

Куда стучаться?

Для начала, конечно, СМИ и общественникам стоит понять, что это было? Версия руководителя Комитета избирателей Украины Александра Черненко следующая: «У кого-то появилось опасение, что у нас возможна «арабская весна». И все неподконтрольные ресурсы решено было заблокировать - на всякий случай. Это недорого. Пришли умники в штабы, сказали, что за тысяч пять долларов они обеспечат такую работу, и им сказали - давай!». По мнению А.Черненко, особые опасения у фальсификаторов могла вызывать возможность онлайн-трансляций с проблемных комиссий. «Это урок. и надо всем нам думать о защите - как технической, так и юридической от таких преступлений», - считает руководитель КИУ.

В этом смысле стоит обратить взоры на северную соседку. Нет, не в плане, что все беды оттуда следом за гастролерами-технологами, хотя и это имеет место быть. Стоит сравнить сценарии DDoS-атак на независимые от Кремля СМИ в декабре 2011 и мае 2012 с тем, что у нас было в октябре, и вы найдете много общего. Еще больше можно было бы найти в атаках на различные украинские ресурсы, если бы мы с вами имели в Украине ту возможность, которая есть у наших российских коллег. Как минимум три компании - HighloadLab, специализирующаяся на изучении и противодействии DDoS-атакам (технология Qrator ), проект Лаборатории Касперского Kaspersky DDoS Prevention и компания Group-IB, которая занимается расследованием компьютерных преступлений, - сегодня могут служить и скорой помощью для атакованных ресурсов, беря их под защиту во время атаки, и помощником в сборе необходимой информации и даже доказательств для обращения в правоохранительные органы и суд.

Хорошая новость: Group-IB подписала соглашение с украинской фирмой «Уа линукс» и вскоре услуги по расследованиям DDoS-атак будут возможны и у нас. Как сообщил ZN.UA руководитель компании Владимир Попов, на сегодня, к сожалению, и сами владельцы ресурсов не всегда понимают, как нужно защищаться. И речь не только об устранении уязвимостей ПО, даже многие банкиры, у клиентов которых крадут деньги интернет-рыбаки (фишинг), предпочитают искать злоумышленников среди своих ІТ-шников.

Но, конечно, в первую очередь надо обратиться в правоохранительные органы, теперь это МВД и его управление по борьбе с киберпреступностью. Но, имея как пример обращение в СБУ и оперативное возбуждение уголовного дела по заявлению Анатолия Могилева по факту атаки на сайт КРО Партии регионов, автор (как руководитель Центра журналистских расследований) также обратилась в крымский главк СБУ. Не надо иронии! В пятницу, по завершении проверки, в ГУ СБУ Украины в Крыму сообщили о возбуждении уголовного дела по факту преступления, предусмотренного ч.1. статьи 361 УК (незаконное вмешательство в работу компьютеров, систем и сетей).

Теперь внимание: как сообщила ZN.UA пресс-секретарь СБУ Марина Остапенко, по фактам DDoS-атак на сайты в октябре 2012 года в СБУ с заявлениями о преступлении обратились всего два лица: Анатолий Могилев и Валентина Самар. В обеих случаях, как уже было сказано, были возбуждены уголовные дела. Где остальные пострадавшие?