Волна хакерских атак на различные ресурсы рунета в понедельник докатилась до крупных банков. Оказались недоступны официальные сайты Альфа-банка и ВТБ24. Ответственность за случившееся взяла на себя группировка Anonymous Caucasus. В своем Twitter хакеры утверждают, что ими выведен из строя не только сайт Альфа-банка, но и сайт его онлайн-банкинга click.alfabank.ru.
Очередной взлом выглядит продолжением серии сетевых диверсий, совпавшей с обострением политического кризиса на Украине. С 7 по 14 марта были взломаны правительственные и медийные ресурсы, причем занимающие как провластную позицию, так и оппозиционно настроенные. 14 марта кибернападению подверглись официальные сайты президента России и Центробанка. Появились сбои в работе сайта МИД России. Ранее, в четверг, DDoS-атаке подвергся сайт Первого канала.
Последние четыре упомянутых взлома группировка Anonymous Caucasus анонсировала в своем Twitter, размещая ссылку на сайт с подписью «Tango down!». Фраза, заимствованная хакерами из лексикона контртеррористических подразделений США, используется для обозначения ликвидации объекта.
Еще раньше Anonymous Caucasus публиковали данные об атаках на сайты правительства Сирии и телеканала Lifenews. Однако с уверенностью сказать, что все взломы — именно их рук дело, пока невозможно. Развернутых объяснений хакеры пока не дали.
«Скоро мы выступим с заявлением. Хватит вопросов», — пообещали кавказские анонимусы в понедельник в своем Twitter.
Кибермоджахеды
На своей странице в Facebook хакеры Anonymous Caucasus называют себя электронной армией «Имарата Кавказ» и кибермоджахедами.
«Никакого отношения к Украине или к происходящим в этой стране событиям мы не имеем»,
— утверждают хакеры-исламисты и добавляют, что угрожают прежде всего России.
Впервые Anonymous Caucasus громко заявили о себе в октябре прошлого года. Тогда еще малоизвестная хакерская группировка взяла на себя ответственность за атаки на несколько крупных российских банков, включая Сбербанк и Центробанк. Программный ролик на YouTube от имени Anonymous Caucasus был опубликован 30 сентября 2013 года. В нем предполагаемые организаторы сообщали, что начали кибервойну против России в отместку за геноцид кавказских народов.
В сети есть также интервью хакеров немецкой редакции издания Vice.com, где они говорят: «Мы хотим показать русским, что Кавказ может сражаться не только на поле боя, но и в интернете». Среди претензий к российским властям кибермоджахеды назвали даже геноцид черкесского народа.
«Anonymous Caucasus — одно из странных постмодернистских явлений глобализированного мира»,
— заключает издание.
Хулиганы против правительства
Впрочем, независимо от того, кто берет на себя ответственность за взлом правительственных ресурсов, специалисты признают, что даже за сетевыми нападениями на государственные ресурсы может стоять небольшая группа единомышленников.
«Чтобы организовать хорошую DDoS-атаку, нужны не столько люди, сколько мощности», — рассказал «Газете.Ru» специалист одного из правительственных сайтов, который был взломан на прошлой неделе.
По словам собеседника, для атаки на сайт достаточно «небольшой банды хулиганов».
«Это ведь не порча, не воровство, не захват. Вот вскрыть серверы банка и утащить миллионы со счетов — это да, серьезный подход. А спамовые DDoS-атаки — это всего лишь знание технологии, которая, оказавшись в разных руках, позволяет получить разный результат. Взломать пароль сети, где много абонентов, — это задачка из области средней школы. Парадокс современного мира: чем более развитой становится техника, тем уязвимее становимся мы», — рассуждает сотрудник крупного государственного интернет-ресурса.
«Сложнее замести следы, — объясняет представитель другого крупного ресурса, взломанного за последние дни, который пожелал сохранить анонимность. — Как правило, это делается через 3–4 поломанных сервера. Стоят они по миру, вот через них и работают.
Как хакеры узнают о том, где есть такие поломанные серверы? Перечитайте трилогию «Девушка с татуировкой дракона».
Там, хотя и в литературно-конспирологическом виде, очень неплохо описано братство хакеров, которые обмениваются информацией между собой. Схема там в целом передана правильно. Ведь если есть специалисты по защите от кибератак, то почему не может быть специалистов по этим атакам? Вдруг это вообще одни и те же люди, которых кто-то нанял? Войны все больше перемещаются в киберпространство, и то, что вчера казалось фантастикой, вполне может завтра стать частью реальной жизни».
Эксперт «Лаборатории Касперского» Сергей Ложкин объяснил «Газете.Ru» механизм наиболее простых и распространенных хакерских диверсий.
«Цель любой DDoS-атаки (от англ. Distributed Denial of Service — распределенная атака типа «отказ в обслуживании») состоит в том, чтобы заблокировать легальным пользователям доступ к какому-либо веб-сайту или крайне затруднить его. Достигается такая цель путем атаки на программное обеспечение серверов, которые перегружаются бесполезными запросами и лишаются возможности предоставлять информацию легитимным пользователям. Для этого преступники, как правило, либо задействуют мощности тысяч компьютеров, объединенных в бот-сеть, либо используют компьютеры самих хак-активистов. В результате DDoS-атаки сайт просто виснет и становится недоступным для пользователей», — рассказывает Ложкин.
По его мнению, DDoS-атаки на СМИ и другие интернет-ресурсы, которые мы наблюдаем на протяжении последней недели, являются примерами «хак-ативизма» — формы кибернападений, выражающих политический или социальный протест.
В том, что подобные акции вполне по плечу горстке идейных борцов, специалисты не сомневаются.
«На организацию подобной атаки может потребоваться от $300», — рассказал «Газете.Ru» глава российского представительства компании ESET Денис Матеев.
Anonymous, по его мнению, — это сообщество хак-активистов, которые объединяются ради борьбы за идею свободы в интернете. Глубокой квалификации, как и больших денег, для их атак не нужно.
Киберследствие
События последней недели — далеко не первая волна хакерских нападений на крупнейшие интернет-ресурсы в России. При этом российским правоохранительным органам, несмотря на примитивные методы хак-активистов, почти никогда не удается привлечь виновных в DDOS-атаках к ответственности.
Причину проблем с поиском киберпреступников для российских спецслужб объяснил руководитель отдела расследования компьютерных инцидентов «Лаборатории Касперского» Руслан Стоянов. По его словам, организаторов хакерских атак на интернет-ресурсы правоохранительные органы, как правило, находят. «Но киберзлоумышленников нужно не только найти — для успешного расследования необходимо также выявить все обстоятельства произошедшего инцидента и всех, кто был вовлечен в атаку. Затем оперативники передают дело следователям. На этом этапе возникают основные сложности», — объясняет эксперт.
«Поскольку следователей, специализирующихся на расследовании кибератак, в нашей стране не существует, процесс существенно затягивается», — говорит Стоянов.
Если же удается найти следователя нужной квалификации, ему, в свою очередь, нужно еще доказать вину подозреваемых. По мнению эксперта, имена тех, кто на прошлой неделе атаковал сайты СМИ и госорганов, мы, если повезет, «услышим в лучшем случае через год». Если при организации DDoS-диверсии злоумышленники использовали бот-сеть, состоящую из компьютеров, на которых было запущен вредоносный софт, их действия подпадают под статью 273 УК (создание, использование и распространение вредоносных программ для ЭВМ). В настоящее время это практически единственная статья, по которой можно привлечь хакеров, специализирующихся на DDoS-атаках.
«При этом если при атаке бот-сеть не организовывалась, а злоумышленники использовали, например, специальное оборудование, то и данная статья не работает», — говорит Стоянов. Другая статья УК для киберпреступников — 274-я (нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей)». «Но она очень сложно сформулирована, и мы не знаем случаев применения этой статьи на практике», — уточняет эксперт.
Редким примером успешного привлечения к ответственности организатора DDoS-нападения Стоянов назвал приговор 37-летнему бизнесмену Павлу Врублевскому, которого в прошлом году суд признал виновным в атаке на сайт «Аэрофлота».
По версии следствия, Врублевский в начале июля 2010 года решил разорвать контракт между компанией «Аэрофлот» и ООО «Ассист» об оказании услуг по продаже электронных авиабилетов. Для этого он создал организованную группу, куда помимо него вошли подчиненный ему ведущий специалист службы информационной безопасности Максим Пермяков, а также братья Артимовичи, занимавшиеся оказанием хакерских услуг.
Основным ведомством по борьбе с киберпреступностью в России считается Бюро специальных технических мероприятий МВД, больше известное как управление «К». На просьбу «Газеты.Ru» прокомментировать перспективы расследования недавних атак в МВД ответили категорическим отказом, сославшись на профессиональные секреты.