Перейти к содержанию
View in the app

A better way to browse. Learn more.

IT2B - Технологии разведки для бизнеса

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Опыт борьбы росорганов с Ddos-атаками

Featured Replies

Опубликовано

Анализ международной следственной и судебной практики показывает, что в последнее время неуклонно возрастает количество преступлений, совершаемых с использованием сервисов глобальной компьютерной сети Интернет. Наиболее тяжкими из них, причиняющими особо крупный ущерб потерпевшим, являются так называемые «распределенные атаки «Отказ в обслуживании»» – Distributed Denial of Service или «DDoS-атаки».

 

Следует обратить внимание, что при их осуществлении преступники не ставят перед собой цель проникновения в защищенную компьютерную систему для неправомерного получения и последующего использования охраняемой законом компьютерной информации, их задача – парализовать работу web-узла потерпевшего в корыстных целях, например, вымогательства денежных средств, устранения конкурента и др.

 

DDoS-атаки являются относительно новым видом компьютерных преступлений. Их совершение стало возможным лишь на рубеже перехода человечества к информационному обществу (в конце XX начале XI века), ознаменовавшемуся повсеместным внедрением Интернет-технологий, глобализацией мировой экономики и развитием сетевых форм электронной коммерции.

 

Впервые о DDoS-атаках стали открыто говорить в средствах массовой информации, начиная с 1999 года, когда дистанционно были осуществлены вредоносные блокирующие воздействия на web-сервера таких крупнейших транснациональных корпораций как Amazon, Yahoo, CNN, eBay, E-Trade и ряд других, не менее известных.

С той поры прошло немало времени. Его было достаточно преступникам, чтобы модернизировать свой инструментарий, а также разработать новые способы совершения преступных посягательств рассматриваемой категории. Данный вид преступной деятельности еще только набирает свою силу, поэтому с большой долей уверенности можно прогнозировать увеличение количества DDoS-атак уже в ближайшие годы.

Вместе с тем, нельзя оставить без внимания и тот факт, что российским органам предварительного расследования удалось накопить положительный опыт взаимодействия с правоохранительными органами зарубежных государств и разработать методические рекомендации по совершенствованию практики раскрытия и расследования преступлений выделенного вида. Проиллюстрируем отдельные их положения на следующем примере.

 

В июне 2004 года в МВД России поступили официальное заявление от Чрезвычайного и Полномочного Посла Соединенного Королевства Великобритании и Северной Ирландии в Российской Федерации, а также международный запрос по линии Интерпола от начальника Национального Управления по Борьбе с Преступлениями в Сфере Высоких Технологий Великобритании о деятельности организованной преступной группы российских хакеров, длительное время осуществлявших вымогательства денежных средств в особо крупных размерах у британских транснациональных букмекерских компаний и казино путем блокирования работы их web-серверов с помощью DDoS-атак.

 

Эти документы послужили основанием для возбуждения уголовного дела по признакам преступлений, предусмотренных пунктами «а» и «б» части 3 статьи 163 и части 2 статьи 273 УК РФ, т.е. вымогательство, совершенное организованной преступной группой в целях получения имущества в особо крупном размере, а также создание, использование и распространение вредоносных программ для ЭВМ, повлекшие тяжкие последствия.

 

Следствием установлено, что М., П. и С., а также лица, уголовное дело в отношении которых было выделено в отдельное производство, с октября 2003 года по июнь 2004 года посредством сервисов глобальной информационно-телекоммуникационной сети Интернет вступили в преступный сговор, направленный на вымогательство денежных средств в особо крупных размерах у иностранных компаний, осуществляющих свою коммерческую деятельность на основе сетевых систем электронного документооборота. С этой целью они объединились в организованную преступную группу.

 

Для реализации своего преступного умысла они решили использовать имевшиеся в их распоряжении компьютерные сети зараженных компьютеров, на которые в тайне от их владельцев были установлены разработанные специально для этих целей вредоносные программы, реализующие распределенные атаки с разных компьютеров без ведома их пользователей, что приводит к отказу в обслуживании атакуемого сервера стандартными программно- техническими средствами информационно-телекоммуникационной сети связи Интернет. Данные вредоносные программы для ЭВМ были предназначены для реализации одновременных распределенных атак с разных компьютеров без ведома их пользователей посредством автоматической отсылки в адрес сервера потерпевшего многочисленных запросов, что приводит к отказу в обслуживании, если информационные ресурсы атакуемого сервера недостаточны для обработки всех поступающих запросов одновременно за единицу времени.

 

Участники организованной преступной группы распределили свои роли следующим образом. П. должен был предоставлять в необходимое время принадлежащую ему сеть компьютеров, зараженных вредоносными программами, для осуществления DDoS–атак на удаленные серверы. Он должен был привлечь в преступную группу других лиц, имеющих познание в создании и сетевом распространении вредоносных программ для ЭВМ. В обязанности М. входили доработка специальных вредоносных программ, предназначенных для организации распределенного отказа в обслуживании удалённых серверов, посредством встраивания в них специального программного модуля, отвечающего за саморазмножение программы через выявленные ими уязвимости в операционной системе Windows, для получения без ведома пользователей контроля над удаленными компьютерами.

 

Кроме того, М. должен был вести наблюдение за атакой в моменты ее активного воздействия на удаленные серверы, техническую поддержку ее полноценного функционирования и устранение возможных сбоев и неполадок атаки. С., согласно отведенной ему в организованной преступной группе роли, должен был заниматься мониторингом при подготовке и проведении атак на удалённые серверы, а также изучением всех появляющихся в международной криминальной практике новых вредоносных программ для последующего их использования для совершения указанных преступлений членами его преступной группы.

 

В целях сокрытия преступной деятельности и уклонения от уголовной ответственности, преступники всегда использовали различные средства маскировки своих фактических данных. При общении между собой они пользовались лишь сетевыми псевдонимами. Для маскировки или изменения своего фактического IP-адреса они пользовались различными анонимными прокси-(proxy)-серверами, VPN-сервисами и различными анонимными почтовыми серверами («анонимайзерами»). Также они использовали вымышленные имена для регистрации электронных почтовых ящиков на почтовых серверах провайдеров услуг Интернет, находящихся в различных странах мира.

 

Участниками организованной преступной группы была тщательно разработана схема получения с потерпевших компаний вымогаемых денежных средств через имеющуюся сеть международных платёжных систем, таких как Western Union, Webmoney, а также с использованием российской системы международных переводов денежных средств Автобанк – Никойл. В целях сокрытия преступной деятельности преступники в своих электронных письмах требовали от потерпевших компаний переводить деньги на заранее оговоренные имена жителей Республики Латвия, которые занимались обналичиванием и дальнейшим переводом денежных средств уже на территорию России.

Например, в период с 9 час 25 октября 2003 года до 12 час 28 октября 2003 года, в дни проведения традиционных общественно-популярных соревнований – скачек «Кубок Бридерса», П. и другие участники организованной преступной группы, используя имеющиеся в их распоряжении сети компьютеров, зараженных специальными вредоносными программами, позволяющими удаленно их администрировать посредством IRC-канала, произвели DDoS – атаку на Интернет-сайт британской компании «К-Лтд», имеющей IP-адрес 195.ЧЧ.ХХ.КК и следующие Web – адреса: www.c.com, www.c.co.uk, www.c.com.au, деятельность которой полностью основывается на постоянном доступе к ресурсам глобальной компьютерной сети Интернет и приеме ставок от клиентов на результаты спортивных соревнований только лишь посредством сервисов сети Интернет.

 

Согласно распределению ролей между участниками организованной преступной группы, М. и С. осуществляли контроль и мониторинг за ходом и состоянием атаки, а также устраняли возникающие технические проблемы. Атака имела лавинообразный эффект поглощения трафика сервера атакуемой компании, при которой около 425 уникальных сетевых (IP) адресов создавали более 600 000 одновременных соединений с Web-сервером компании, посылая запросы на получение информации со скоростью более 70 мегабайт в секунду, в то время как в обычном режиме Web-сервер получает запросы на информацию со скоростью 2 мегабайта в секунду. В результате этого, Web-страница компании была отключена от сети Интернет. Во время атаки на электронные почтовые ящики компании «К-Лтд» mail@c.co.uk, payments@c.co.uk, sport@c.co.uk, techsupport@c.co.uk преступники, с целью получение денег в особо крупном размере, направили электронные письма с требованиями передачи им денежных средств в сумме 40 тыс. долларов США, что составляет 1196624 руб. из расчёта 29,9156 руб. за 1 доллар США, угрожая в случае невыполнения их требований продолжением атаки до полного разорения компании.

 

Руководство компании, воспринимая полученные угрозы как реальные и действительно понеся крупные убытки от противоправной деятельности организованной преступной группы, приняло решение удовлетворить требования вымогателей. Получив согласие на выплату требуемой суммы, участники организованной преступной группы, не прекращая атаку, выслали в адрес компании список имен жителей Латвии, которым необходимо было перечислить денежные средства в сумме 40 тыс. долларов США. В период с 27 по 31 октября 2003...

 

_ttp://www.crime-research.ru/articles/3909

  • Ответов 15
  • Просмотры 7,3т
  • Создана
  • Последний ответ

Топ авторов темы

Опубликовано

Насколько я понимаю, много опущено (сознательно? style_emoticons/default/smile14.gif ). Видны явные логические нестыковки - например, откуда была получена информация о настоящих IP-адресах ;-)

Помнится мне, читал я года полтора назад на английском языке совсем другую трактовку причин событий...

 

P.S.

Кстати, кто знает, доблестная группа МЕГА что-нибудь сделала по жизни? style_emoticons/default/smile5.gif

 

 

Опубликовано

Знаменитая история, вокруг которой немало баек сплетен....

 

По существу:

при правильной организации - вычислить атакующего практически не возможно, самый уязвимый в данном случае это финансовый канал, через который скорее всего и вычислили данную группу.

 

З.Ы. если кто знает методы вычисления атакующего по информационному каналу - поделитесь =)

Опубликовано

Ну, ПриватБанк (судя по публикациям прессы style_emoticons/default/smile1.gif ) как-то вычислял фишеров своего сайта в Китае style_emoticons/default/smile10.gif

 

А вообще для этого нужно пройти по цепочке проксей (и информации netflow с маршрутизаторов), что дело мягко говоря непростое style_emoticons/default/smile17.gif

 

С2-сервера (особенно, если это тупой IRC) вычисляются достаточно легко. По-моему, недавно в штатах было завершено дело, когда ддосили какой-то антиспамерский сайт. Нашли ведь и засудили... style_emoticons/default/smile19.gif

 

 

Изменено пользователем Vinni

Опубликовано
С2-сервера (особенно, если это тупой IRC) вычисляются достаточно легко. По-моему, недавно в штатах было завершено дело, когда ддосили какой-то антиспамерский сайт. Нашли ведь и засудили...

цепочка BNC + еще различные ухищрения типа подмены DNS и тд тп, пока все точки обползешь - не одна неделя пройдет, на самом деле больше по глупости попадают, полагая что их искать никто и не додумается

Изменено пользователем SSDD

Для публикации сообщений создайте учётную запись или авторизуйтесь

Account

Navigation

Поиск

Поиск

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.