За хакерскими атаки ЖЖ тянется след популярного у киберпреступников ботнета

За DDoS атаками на Живой Журнал прослеживается след популярного на черном рынке киберпреступников ботнета. Первые атаки на веб-платформу ЖЖ, как подчеркивается, были совершены с его помощью, причем объектом стал блог популярного общественного деятеля Алексея Навального. Вместе с тем владельцы аналогичный онлайновых проектов отмечают, что обрушение ЖЖ могло произойти без участия со стороны злоумышленников и было вызвано технологическими особенностями системы.

Во вторник специалисты "Лаборатории Касперского" опубликовали некоторые промежуточные результаты исследования проблемы, приключившейся с популярной социальной сеть— LiveJournal. В частности экспертами были установлены несколько важных деталей, касающихся так называемой DDoS атаки на платформу. В результате анализа, удалось установить, что обвал системы производился при помощи ботнетов— сетей вредоносного программного обеспечения. Сколько их было, в "Касперском" точно назвать не могут, однако природу одного им удалось установить.

"Мы не знаем точно, сколько ботнетов принимают участие в организации атаки, но нам доподлинно известен по крайней мере один такой ботнет. Он построен на основе DDoS-бота Darkness/Optima, весьма популярного в данный момент на черном рынке русскоязычной киберпреступности",— написала в официальном блоге Лаборатории специалист "Касперского" Марина Гарнаева. Эксперт отмечает, что по косвенным признакам можно предположить, что размер этого бота достаточно велик.

Директор по развитию продуктов компании SUP Илья Дронов рассказал, на кого была направлена DDOS-атака, обрушившая ЖЖ 4 апрел Источник Скриншот поста в ЖЖ Илья Дронова

"В период проведения DDoS-атак, описанных выше, боты Optima также получали команду на загрузку новых версий Trojan-Downloader.Win32.CodecPack. Распространение через ботнет еще и CodecPack’а говорит о том, что ботнет большой— поскольку его владельцы принимают (и получают) заказы на „загрузку" других вредоносных программ. Учитывая размах работы владельцев CodecPack, можно смело сказать, что „работать" они будут только с одним из крупных ботнетов на рынке. А это, скорее всего, десятки тысяч инфицированных машин",— отмечает госпожа Гарнаева.

Напомним, первый масштабный сбой платформы ЖЖ был отмечен в минувшую среду, 30 марта, когда пользователи сначала испытали проблемы с добавлением сообщений, а потом и вовсе лишились возможности открывать сайт. Тем не менее, по словам госпожи Гарнаевой, первая DDoS-атака на ЖЖ была осуществлена ещё 24 марта. Этот факт показал анализ данных мониторинга. Тогда, подчеркивает специалист, владельцы ботнета отдали команду на проведение атаки на адрес блога Алексея Навального: http://navalny.livejournal.com.

Эксперимент, на тот момент незаметный для подавляющего большинства пользователей, продолжился 26 марта, когда боты получили команду атаковать на еще один ресурс— http://rospil.info— администратором и создателем которого также является господин Навальный.

Хронология атак и целей ботнета 24.03.2011— http://navalny.livejournal.com 25.03.2011— http://navalny.livejournal.com 25.03.2011— http://navalny.livejournal.com/569737.html 25.03.2011— http://www.livejournal.com/ratings/posts 26.03.2011— http://navalny.livejournal.com 26.03.2011— http://rospil.info 29.03.2011— http://rospil.info 30.03.2011— http://www.kredo-m.ru 30.03.2011— http://navalny.livejournal.com 01.04.2011— http://www.rutoplivo.ru данные Лаборатории "Касперского"

30 марта, когда "лег" весь ЖЖ, специалистами "Лаборатории Касперского" была зафиксирована атака ботнетом Optima только на navalny.livejournal.com.

Впрочем, уже 4 апреля список объектов нападения стремительно разширился. Накануне, как подчеркивается в блоге госпожи Гарнаевой, были атакованы блоги многих популярных авторов, пишущих на совершенно разные темы.

"Было ли это попыткой „размыть" реальную цель атаки, которая явно была обозначена среди первых попыток DDoS, или список неугодных блогов стал шире— нам неизвестно",— отмечает эксперт.

Перманентная DDoS-атака

Исследование Лаборатории "Касперского" ясно показала, что на первоначальной стадии процесса обрушения платформы злоумышленники предельно четко определили себе цель— это ряд проектов общественно-политического активиста Алексея Навального. DDoS атака, подтвержденная ранее руководителями самого ЖЖ, была спровоцировано ботнетом. При этом позже со стороны администрации сайта также поступила информация, что в момент атаки на веб-площадке производилась смена оборудования. В частности, менялся алгоритм кэширования.

После нескольких нашумевших постов Алексея Навального в ЖЖ в нем стали видеть не журналиста, а потенциального политического лидер Источник www.neftegaz.ru

В этой связи ряд видных представителей интернет-сектора выдвинули предположение, что никакой намеренной атаки со стороны каких-либо лиц не было. А имело место тривиальная неподготовленность технического обеспечения. По словам руководителя LiveInternet Германа Клименко, система онлайн блогов испытывает на себе DDoS постоянно. Это является технической особенностью такого онлайн проекта.

"У нас на Liveinternet стоит такая же система кэширования, что и у Livejournal. И мы несколько раз попадали в историю, когда у нас падали базы данных, когда мы что-то обновляли. А кэши достаточно долго собираются и с ними возникает такая же проблема, как с энергетикой. Помните, у нас был блэкаут, когда есть мощная станция и ее все время вышибает. Почему? Потому, что возрастают нагрузки. И по эффекту при подъеме после обновления кэшей очень похожая ситуация на DDoS. Я не утверждаю, что у них нет DDoS, но дело в том, что на крупные ресурсы (будь то „жежешечка", „лирушечка", и так далее) всегда идет DDoS, постоянно",— цитирует Клименко издание PolitOnline.ru .

Основатель Liveinternet.ru Герман Клименко Источник Sandy Times

Он подчеркивает, что ЖЖ теоретически старше LiveInternet, и у него есть большой зарубежный сегмент, поэтому он должен был постоянно подвергаться DDoS безотносительно Навального и прочих персонажей. "Меня во всей этой истории именно эта часть смущает- их вообще должно ничего подобное не удивлять, у них опыт должен быть побольше, чем у меня в работе под ДДоС",— заявил господин Клименко, добавив впрочем, что когда представители ЖЖ рассказывают чудесные истории о ДДосе, приходится им верить.