Кому помешал «Медиа-СПб»?

В четверг в 18:20 сайты холдинга «Медиа-СПб» подверглись DDOS-атаке. Ежеминутно до полумиллиона ботов пытались загрузить одну и ту же новость про инвалидов. После нескольких неудачных атак на сайты ЗАКС.Ру и петербургской «Новой Газеты», «штурмовикам» все же удалось «уронить» ресурсы. Эксперты расходятся во мнениях, кто именно заказал нападение...

В четверг, 1 декабря в 18:20 несколько тысяч компьютеров, разбросанных по всему миру, начали посылать запросы на сайт ЗАКС.Ру. Ежеминутно до полумиллиона ботов пытались загрузить одну и ту же новость про инвалидов. После нескольких неудачных атак на сайты ЗАКС.Ру и петербургской «Новой Газеты», «штурмовикам» все же удалось «уронить» ресурсы. Эксперты расходятся во мнениях, кто именно заказал нападение.

Оба издания – ЗАКС.Ру и «Новая Газета в Петербурге» - относятся к холдингу «Медиа-СПб». Именно они первыми подверглись нападению. Вскоре «упал» сайт Лениздат.Ру, также принадлежащий компании. Хотя его не атаковали напрямую, волна ботов накрыла и этот ресурс.

Паразитные запросы

DDOS-атака началась примерно в 18:20 1 декабря. Изначально она была направлена на две страницы ЗАКС.Ру. Однако на какие именно - в нашем случае абсолютно не имеет значения.

Никакой нормальный человек не будет атаковать ту страницу, которая явилась причиной его гнева, - поясняет системный администратор холдинга.

Первая атака была отбита. Паразитные запросы пошли на сайт «Новой Газеты». Речь идет о заходах на сайт, на определенную его страницу с тысяч компьютеров, разбросанных по всему миру. Владельцы этих компьютеров даже не подозревают, что участвуют в сети ботов: бот-net. Ресурсам пришлось отвечать примерно на полмиллиона запросов ежеминутно.

Атаку на сайт Новой Газеты снова удалось отбить. Организаторам нападения пришлось изменить свою тактику. Запросы пошли к ip-адресу сервера. Их поток составил 50 мегабит в секунду. Весь канал передачи данных оказался заполненным паразитным трафиком.

Люди решили не париться с отдельными страницами, а просто убить сервер. Атака продолжалась всю ночь, - рассказывает администратор.

Технически подобное нападение организовать легко. На форумах в Интернете размещено значительное количество объявлений с предложениями устроить DDOS-атаки. Занимаются этим люди, обладающие сетью зараженных компьютеров. Ценники выставляются довольно низкие и варьируются в зависимости от количества ботов в сети (а как следствие - мощности атаки). В сутки прайс может составлять от 25 до 100 долларов. Есть почасовая оплата. Например, пользователей, первым «выскочивший» по соответствующему запросу в Интернете, предлагает такие услуги за 15 долларов в час

Оплата осуществляется обезличенными платежами. Заказчики передают исполнителям коды от карт оплаты, на которых лежат деньги. Рассчитываться также можно через яндекс-кошелек, web-money, отправляя деньги через платежные терминалы и т.д.

Прогнозировать, сколько продлится атака, невозможно, - поясняет системный администратор. - Ее длительность ограничена исключительно желаниями и деньгами заказчика.

Кому помешал «Медиа-СПб»?

Свое прогнозы о сроках окончания атаки ЗАКС.Ру высказывают эксперты. В частности источник из Мариинского дворца советует изданию «даже не переживать» - раньше 5 декабря волна ботов не схлынет.

Сейчас самая горячая пора перед выборами. Формируются составы дополнительных участковых комиссий. Процесс сопряжен со скандалами. Плюс – суббота. В этот день избиратели будут осматривать все ваши публикации за последние пару месяцев, сопоставлять информацию, строить логические цепочки…. Ну подумайте сами. Зачем вы нужны перед выборами, - успокаивающе резюмирует собеседник.

Впрочем, ЗАКС.Ру обращает внимание на то, что служба технической поддержки холдинга работает над новой системой безопасности ресурсов. Издание надеется, что до 4 декабря системным администраторам все же удастся отбиться от ботов.

Иной точки зрения в оценках мотивов атаки придерживается политолог Станислав Белковский. По его мнению, дело в деньгах.

Думаю, атаки организованы сурковскими людьми. Его Интернет подразделение, которым неформально командует депутат ГосДумы Константин Рыков, - эксперт призывает не думать, что проблема была именно в ЗАКС.Ру – давлению сейчас подвергаются многие СМИ, среди которых оказалось и наше издание. – Сам по себе ЗАКС.Ру опасности для власти не представляет. Весь вопрос – в освоении бюджета.

С такой точкой зрения согласен и политолог Владимир Васильев. Для него «тут все ясно: лавная цель этих действий – не профилактика выступлений против «Единой России», а отмывка денег».

Представьте истерику в штабе партии власти, обусловленную ее низкими рейтингами. На их фоне приветствуются любые предложение политтехнлогов, которые хоть как-то могут содействовать повышению популярности. Вот они предлагают – давайте обрушим тех, тех и тех. Предложение воспринимается «на ура». Выделяются бешеные деньги, которые вниз спускаются со «ступенчатыми» огромными откатами, - высказывает свою точку зрения Васильев.

Станислав Белковского, в свою очередь, считает, что некие люди с целью получения финансирования смогли убедить руководство, что в последние дни перед выборами и в день голосования необходимо нейтрализовать оппозиционные СМИ. То есть в нашем случае нейтрализация – лишь средство получения денег.

Как раз вчера была совершена атака на «Коммерсант», многие СМИ усиливают свою цензуру, - продолжает политолог. – То есть я вижу: еще недавно они «такое» писали. А теперь им уже нельзя. Все это – результат общей кампании.

ЗАКС.Ру и Коммерсант – характер атак разный

ЗАКС.Ру обратился к коллегам из федерального «Коммерсанта», сайт которого также второй день страдает от нападений. Однако там об инициаторах атаки догадок не строят и обращают внимание, что по сравнению с ЗАКС.Ру у них проблемы значительно меньше.

То, что происходит в последние два дня, атакой не является, - рассказывает ЗАКС.Ру гендиректор издательского дома «Коммерсант» Демьян Кудрявцев, - У нашего оператора были подменены dns-таблицы. В итоге люди, которые набирали kommersant.ru, попадали не к нам, а на некий сервер, показывающий плакат. А уже через него они могли попасть к нам. По сути, в этот раз наш сервер никто не обрушал. И если люди приходили на сайт «Коммерсанта» по ссылкам, они сразу попадали к нам, не испытывая никаких проблем.

Кудрявцев поясняет, что проблема с ложными dns-таблицами уже исправлена. Они заменены на правильные. Но чтобы они разошлись по провайдерам, необходимо некоторое время.

Подложные таблицы, выложенные злоумышленниками, остались в кэше – памяти некоторых провайдеров. А она обновляется не сразу, постепенно. Мы пытаемся ускорить процесс, звоним крупным повайдерам, говорим: «ребята, обновите кэш». Некоторые соглашаются, некоторые говорят: «позвоните попозже», некоторые – что уже обновили. В ближайшие часы мы все исправим, - рассказывает Кудрявцев.

По его словам, издательскому дому не принципиально, кто именно организовал подмену таблиц. С целью установления личностей злоумышленников, уже направлены заявления в правоохранительные органы.

Когда валили наш сервер (это было несколько месяцев назад), в частности обвалили окружающие нас сети. А там – школы, больницы, военные части. В тот раз мы тоже писали заявление в правоохранительные органы, но результата их работы мы не увидели. Хотя в принципе подвижки в области раскрываемости компьютерных преступлений есть. Поэтому надеюсь, что когда-нибудь и нам повезет. Найдут… - мечтательно резюмирует Кудрявцев.

Справедливости ради отметим, что предположения политолог остаются лишь предположениями. А нападение на сайты было организовано буквально за час до того, как должен был быть опубликован материал, посвященный возможным махинациям на выборах, связанным с предприятием «Водоканал» и дочерью его руководителя, баллотирующейся в ЗакС. Если бы федеральная «Новая Газета» не согласилось «приютить» ЗАКС.Ру, за что редакция выражает ей свою благодарность, текст мог бы и не увидеть свет…