Атака на LiveJournal. "Тестовое учение" или сбой оборудования?

Атака на LiveJournal. "Тестовое учение" или сбой оборудования?

Атака на LiveJournal.  "Тестовое учение" или сбой оборудования?

В течение последних двух недель интернет – сообщество взбудоражено новостями, связанными с перебоями в работе самой популярной блогплощадки Рунета - "Live Journal" (Живой Журнал). На этот счет существует масса противоречивых мнений. Политизированные пользователи полагают, что это дело рук высших мира сего, а вот оппозиция возлагает ответственность на администрацию портала. Но факт остается фактом - ресурс не функционировал несколько дней. О том, что произошло на самом деле и кому мешает ЖЖ, попробуем разобраться и мы.

 

Из истории

Недавно ЖЖ пережил самую крупную за свою историю существования DDOS атаку. Это подкрепляется данными, представленными самой управляющей компанией SUP, а также результатами наблюдений антивирусной компании "Лаборатория Касперского". Как утверждают последние, атаки начались еще 24 марта. Причем сначала они были направлены на журнал известного борца с коррупцией – адвоката Алексея Навального. Но сам факт кибератаки администрация ЖЖ признала только 30 марта. В этот день сервис практически "лег" под наплывом вредоносных запросов. За несколько часов вместо привычных 50 тыс. обращений ЖЖ получал более миллиона запросов от несуществующих пользователей, которые были направлены с десятков тысяч компьютеров из Юго-Восточной Азии. Спустя несколько часов ситуацию удалось исправить. Однако, как оказалось, это было только началом масштабной акции.

Следующий обвал произошел 4 апреля. В этот раз она была направлена на ряд журналов, принадлежавших популярным блоггерам, т.н. "тысячникам". Но когда хакеры и  в третий раз обрушили и без того на ладан дышащий ЖЖ, директор по развитию продуктов SUP Илья Дронов опубликовал весьма эмоциональное сообщение, в котором заявил, что атака качественно отличалась от предыдущей и, скорей всего, целью был сам сервис, без каких либо предпочтений со стороны атакующих. Он так же добавил, что у нападавших имеется некая "сверхцель", которая заключается в "манипулировании аудиторией ЖЖ" для того, чтобы "размазать ее по другим социальным сетям, и стендэлонам, где, понятное дело, бороться с отдельно взятым пользователем в сотни раз проще".  "Кому-то очень хочется, чтобы ЖЖ перестал существовать как площадка", - резюмировал он.

Кто за этим стоит?

Социальные сети и блогплощадки в последние годы стали приобретать иное значение, став местом формирования сообществ несогласных. Напряжение в российском обществе растет, что может вылиться в массовые восстания и власть это понимает. В этой связи атака на ЖЖ может быть своего рода "учениями" на случай массовых выступлений граждан, отметил старший преподаватель кафедры "Теория и философия политики" СПбГУ Александр Белов. Известные блогеры также полагают, что это могло быть тестовой акцией против "проблемных площадок". Только на аудитории ресурса это никак не отразиться, а лишь наоборот может усугубить положение и привлечь к дискуссии ранее деполитизированных пользователей, которые начнут выражать критическое отношение к власти, считает пострадавший юрист Алексей Навальный.

По мению оппозиционного аналитика Владимира Рыжкова спецслужбы уже не раз демонстрировали свою способность блокирования крупных разделов Интернет. По слухам, существует специальное подразделение по контролю над киберпространством, которое способно решать любые задачи, в том числе блокирование сайтов, социальных сетей, взлом и чтение электронных сообщений. "Вполне возможно, что мы просто наблюдаем полевые учения с прицелом на декабрьские выборы в Госдуму и мартовские президентские выборы в России", - предположил он.

На утверждение г-на Рыжкова отреагировал старший офицер подразделения защиты информации ФСБ, заявив, что компьютерные атаки — не их профиль. "Мы предпочитаем мониторить и помогать оперативным подразделениям, работающим непосредственно с подконтрольными им хакерами", - констатировал специалист.

Но как в любой дискуссии мнения разделились. Некоторые полагают, что никакой DDoS атаки не было вовсе. А перебои в работе связаны с нововведениями, которые администрация ЖЖ неудачно попыталась внедрить накануне произошедшего. Кстати, согласно записи в блоге г-на Дронова, 30 марта могли быть проблемы с просмотром свежих записей в дневниках, в связи с вводом в эксплуатацию системы кэширования, которая должна "увеличить производительность отдачи контента", а также обеспечить "больший запас прочности для отражения DDoS-атак". Кроме этого, совсем недавно некоторые пользователи отметили новые возможности ЖЖ. Там появилась синхронизация с почтовым сервисом mail.ru и социальной сетью Vkontakte.ru. А кое-кто полагает, что эта "акция" - дело рук самой администрации, дабы проверить новую систему в действии.

Версия о причастности властей выглядит более правдоподобно. Ведь в условиях сегодняшней политической ситуации в стране и массовом переходе "с улиц" в сеть, существует большая вероятность самоформирования небольших групп несогласных в более мощное единое сообщество, которое, не ровен час, совершит обратный маневр и, в таком случае, массовые волнения в реальном мире неизбежны. Чтобы не допустить таких образований власти придумывают все новые способы влияния, которые варьируются от стратегий развития "путинских линий", до кибератак, например, не очень эффективного для этих целей DDoS нападения. Возможно, поэтому администрация ЖЖ не спешит заводить уголовное дело по факту нападения.

О DDoS и как с этим бороться

DDoS атака (Distributed Denial of Service – распределенная атака "отказ в обслуживании") подразумевает большой наплыв запросов, отправляемых одновременно на конкретный адрес, что приводит к превышению допустимой нагрузки на серверы и отказу в обслуживании части из них. В результате этого легитимные пользователи не могут попасть на атакуемый ресурс.

Согласно экспертам, подобные атаки совершаются посредством ботсети, которая включает в себя огромное количество зараженных компьютеров, т.н. "зомби". Управляющий такой сетью хакер отправляет на контрольный пункт бота определенные команды, которые затем рассылаются по точкам. Стоит отметить, что в данном случае, по некоторым данным, исходящий трафик вырос до 2Гбит/с,  вместо обычных 400 Мбит/с. Специалисты "Лаборатории Касперского" заявили, что для атаки на ЖЖ использовалась ботсеть Darkness/Optima, работу которого исследователи отслеживают на протяжении некоторого времени. 

Несмотря на то, что авторитетные эксперты в области безопасности считают, что полностью защититься от DDoS атак невозможно, специалисты израильской компании Radware все- же предположили, что при соблюдении определенных условий можно минимизировать последствия подобных нападений. По их мнению, во избежание перегрузки серверов из-за вредоносного трафика требуется установить специализированное оборудование с механизмами противодействия DDoS, которое способно выдержать нагрузку и позволит легитимному трафику проходить нормально. Поведенческий анализ сети (Network Behavioral Analysis, NBA) должен применяться для точного выявления вредоносного трафика среди легитимного, причем на всех сетевых уровнях, включая 7-й (т.е. HTTP), а точная идентификация существенно сокращает время реагирования на атаку. И наконец, необходимо обеспечить блокирование разных векторов атак, т.е.  применение NBA, IPS и DoS технологий в одном решении обеспечивает всестороннюю защиту при мультивекторной атаке.

 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru