Опыт борьбы росорганов с Ddos-атаками

[Игорь Нежданов]

Анализ международной следственной и судебной практики показывает, что в последнее время неуклонно возрастает количество преступлений, совершаемых с использованием сервисов глобальной компьютерной сети Интернет. Наиболее тяжкими из них, причиняющими особо крупный ущерб потерпевшим, являются так называемые «распределенные атаки «Отказ в обслуживании»» – Distributed Denial of Service или «DDoS-атаки».

 

Следует обратить внимание, что при их осуществлении преступники не ставят перед собой цель проникновения в защищенную компьютерную систему для неправомерного получения и последующего использования охраняемой законом компьютерной информации, их задача – парализовать работу web-узла потерпевшего в корыстных целях, например, вымогательства денежных средств, устранения конкурента и др.

 

DDoS-атаки являются относительно новым видом компьютерных преступлений. Их совершение стало возможным лишь на рубеже перехода человечества к информационному обществу (в конце XX начале XI века), ознаменовавшемуся повсеместным внедрением Интернет-технологий, глобализацией мировой экономики и развитием сетевых форм электронной коммерции.

 

Впервые о DDoS-атаках стали открыто говорить в средствах массовой информации, начиная с 1999 года, когда дистанционно были осуществлены вредоносные блокирующие воздействия на web-сервера таких крупнейших транснациональных корпораций как Amazon, Yahoo, CNN, eBay, E-Trade и ряд других, не менее известных.

С той поры прошло немало времени. Его было достаточно преступникам, чтобы модернизировать свой инструментарий, а также разработать новые способы совершения преступных посягательств рассматриваемой категории. Данный вид преступной деятельности еще только набирает свою силу, поэтому с большой долей уверенности можно прогнозировать увеличение количества DDoS-атак уже в ближайшие годы.

Вместе с тем, нельзя оставить без внимания и тот факт, что российским органам предварительного расследования удалось накопить положительный опыт взаимодействия с правоохранительными органами зарубежных государств и разработать методические рекомендации по совершенствованию практики раскрытия и расследования преступлений выделенного вида. Проиллюстрируем отдельные их положения на следующем примере.

 

В июне 2004 года в МВД России поступили официальное заявление от Чрезвычайного и Полномочного Посла Соединенного Королевства Великобритании и Северной Ирландии в Российской Федерации, а также международный запрос по линии Интерпола от начальника Национального Управления по Борьбе с Преступлениями в Сфере Высоких Технологий Великобритании о деятельности организованной преступной группы российских хакеров, длительное время осуществлявших вымогательства денежных средств в особо крупных размерах у британских транснациональных букмекерских компаний и казино путем блокирования работы их web-серверов с помощью DDoS-атак.

 

Эти документы послужили основанием для возбуждения уголовного дела по признакам преступлений, предусмотренных пунктами «а» и «б» части 3 статьи 163 и части 2 статьи 273 УК РФ, т.е. вымогательство, совершенное организованной преступной группой в целях получения имущества в особо крупном размере, а также создание, использование и распространение вредоносных программ для ЭВМ, повлекшие тяжкие последствия.

 

Следствием установлено, что М., П. и С., а также лица, уголовное дело в отношении которых было выделено в отдельное производство, с октября 2003 года по июнь 2004 года посредством сервисов глобальной информационно-телекоммуникационной сети Интернет вступили в преступный сговор, направленный на вымогательство денежных средств в особо крупных размерах у иностранных компаний, осуществляющих свою коммерческую деятельность на основе сетевых систем электронного документооборота. С этой целью они объединились в организованную преступную группу.

 

Для реализации своего преступного умысла они решили использовать имевшиеся в их распоряжении компьютерные сети зараженных компьютеров, на которые в тайне от их владельцев были установлены разработанные специально для этих целей вредоносные программы, реализующие распределенные атаки с разных компьютеров без ведома их пользователей, что приводит к отказу в обслуживании атакуемого сервера стандартными программно- техническими средствами информационно-телекоммуникационной сети связи Интернет. Данные вредоносные программы для ЭВМ были предназначены для реализации одновременных распределенных атак с разных компьютеров без ведома их пользователей посредством автоматической отсылки в адрес сервера потерпевшего многочисленных запросов, что приводит к отказу в обслуживании, если информационные ресурсы атакуемого сервера недостаточны для обработки всех поступающих запросов одновременно за единицу времени.

 

Участники организованной преступной группы распределили свои роли следующим образом. П. должен был предоставлять в необходимое время принадлежащую ему сеть компьютеров, зараженных вредоносными программами, для осуществления DDoS–атак на удаленные серверы. Он должен был привлечь в преступную группу других лиц, имеющих познание в создании и сетевом распространении вредоносных программ для ЭВМ. В обязанности М. входили доработка специальных вредоносных программ, предназначенных для организации распределенного отказа в обслуживании удалённых серверов, посредством встраивания в них специального программного модуля, отвечающего за саморазмножение программы через выявленные ими уязвимости в операционной системе Windows, для получения без ведома пользователей контроля над удаленными компьютерами.

 

Кроме того, М. должен был вести наблюдение за атакой в моменты ее активного воздействия на удаленные серверы, техническую поддержку ее полноценного функционирования и устранение возможных сбоев и неполадок атаки. С., согласно отведенной ему в организованной преступной группе роли, должен был заниматься мониторингом при подготовке и проведении атак на удалённые серверы, а также изучением всех появляющихся в международной криминальной практике новых вредоносных программ для последующего их использования для совершения указанных преступлений членами его преступной группы.

 

В целях сокрытия преступной деятельности и уклонения от уголовной ответственности, преступники всегда использовали различные средства маскировки своих фактических данных. При общении между собой они пользовались лишь сетевыми псевдонимами. Для маскировки или изменения своего фактического IP-адреса они пользовались различными анонимными прокси-(proxy)-серверами, VPN-сервисами и различными анонимными почтовыми серверами («анонимайзерами»). Также они использовали вымышленные имена для регистрации электронных почтовых ящиков на почтовых серверах провайдеров услуг Интернет, находящихся в различных странах мира.

 

Участниками организованной преступной группы была тщательно разработана схема получения с потерпевших компаний вымогаемых денежных средств через имеющуюся сеть международных платёжных систем, таких как Western Union, Webmoney, а также с использованием российской системы международных переводов денежных средств Автобанк – Никойл. В целях сокрытия преступной деятельности преступники в своих электронных письмах требовали от потерпевших компаний переводить деньги на заранее оговоренные имена жителей Республики Латвия, которые занимались обналичиванием и дальнейшим переводом денежных средств уже на территорию России.

Например, в период с 9 час 25 октября 2003 года до 12 час 28 октября 2003 года, в дни проведения традиционных общественно-популярных соревнований – скачек «Кубок Бридерса», П. и другие участники организованной преступной группы, используя имеющиеся в их распоряжении сети компьютеров, зараженных специальными вредоносными программами, позволяющими удаленно их администрировать посредством IRC-канала, произвели DDoS – атаку на Интернет-сайт британской компании «К-Лтд», имеющей IP-адрес 195.ЧЧ.ХХ.КК и следующие Web – адреса: www.c.com, www.c.co.uk, www.c.com.au, деятельность которой полностью основывается на постоянном доступе к ресурсам глобальной компьютерной сети Интернет и приеме ставок от клиентов на результаты спортивных соревнований только лишь посредством сервисов сети Интернет.

 

Согласно распределению ролей между участниками организованной преступной группы, М. и С. осуществляли контроль и мониторинг за ходом и состоянием атаки, а также устраняли возникающие технические проблемы. Атака имела лавинообразный эффект поглощения трафика сервера атакуемой компании, при которой около 425 уникальных сетевых (IP) адресов создавали более 600 000 одновременных соединений с Web-сервером компании, посылая запросы на получение информации со скоростью более 70 мегабайт в секунду, в то время как в обычном режиме Web-сервер получает запросы на информацию со скоростью 2 мегабайта в секунду. В результате этого, Web-страница компании была отключена от сети Интернет. Во время атаки на электронные почтовые ящики компании «К-Лтд» mail@c.co.uk, payments@c.co.uk, sport@c.co.uk, techsupport@c.co.uk преступники, с целью получение денег в особо крупном размере, направили электронные письма с требованиями передачи им денежных средств в сумме 40 тыс. долларов США, что составляет 1196624 руб. из расчёта 29,9156 руб. за 1 доллар США, угрожая в случае невыполнения их требований продолжением атаки до полного разорения компании.

 

Руководство компании, воспринимая полученные угрозы как реальные и действительно понеся крупные убытки от противоправной деятельности организованной преступной группы, приняло решение удовлетворить требования вымогателей. Получив согласие на выплату требуемой суммы, участники организованной преступной группы, не прекращая атаку, выслали в адрес компании список имен жителей Латвии, которым необходимо было перечислить денежные средства в сумме 40 тыс. долларов США. В период с 27 по 31 октября 2003...

 

_ttp://www.crime-research.ru/articles/3909

[Vinni]

Насколько я понимаю, много опущено (сознательно? style_emoticons/default/smile14.gif ). Видны явные логические нестыковки - например, откуда была получена информация о настоящих IP-адресах ;-)

Помнится мне, читал я года полтора назад на английском языке совсем другую трактовку причин событий...

 

P.S.

Кстати, кто знает, доблестная группа МЕГА что-нибудь сделала по жизни? style_emoticons/default/smile5.gif

 

 

[SSDD]

Знаменитая история, вокруг которой немало баек сплетен....

 

По существу:

при правильной организации - вычислить атакующего практически не возможно, самый уязвимый в данном случае это финансовый канал, через который скорее всего и вычислили данную группу.

 

З.Ы. если кто знает методы вычисления атакующего по информационному каналу - поделитесь =)

[Vinni]

Ну, ПриватБанк (судя по публикациям прессы style_emoticons/default/smile1.gif ) как-то вычислял фишеров своего сайта в Китае style_emoticons/default/smile10.gif

 

А вообще для этого нужно пройти по цепочке проксей (и информации netflow с маршрутизаторов), что дело мягко говоря непростое style_emoticons/default/smile17.gif

 

С2-сервера (особенно, если это тупой IRC) вычисляются достаточно легко. По-моему, недавно в штатах было завершено дело, когда ддосили какой-то антиспамерский сайт. Нашли ведь и засудили... style_emoticons/default/smile19.gif

 

 

[SSDD]

С2-сервера (особенно, если это тупой IRC) вычисляются достаточно легко. По-моему, недавно в штатах было завершено дело, когда ддосили какой-то антиспамерский сайт. Нашли ведь и засудили...

цепочка BNC + еще различные ухищрения типа подмены DNS и тд тп, пока все точки обползешь - не одна неделя пройдет, на самом деле больше по глупости попадают, полагая что их искать никто и не додумается