Украинская IT-армия: кто координирует кибератаки на Россию

Распечатать эту запись Распечатать эту запись
    0
26 мая 12:33 IT-криминал
Украинская IT-армия: кто координирует кибератаки на Россию



Около 40 сообществ в Telegram ежедневно атакуют объекты российской инфраструктуры. Каждый день на них публикуют список сайтов, по которым будет нанесен удар. На следующий день в тех же сообществах выкладывают доказательства успешной атаки, в противном случае IT-генералы просят провести атаку еще раз. «Газета.Ru» изучила инструкции для участников DDoS-атак, а также попросила специалистов по информационной безопасности оценить специализированное ПО — «оружие», которым пользуется «IT ARMY of Ukraine».

С 24 февраля российские интернет-ресурсы (и брянские сайты государственных и муниципальных структур, а также СМИ — не исключение) массово атакуют с помощью инструментов для проведения DDoS-атак. Чтобы координировать такие действия, которые наказываются законодательством многих стран реальными тюремными сроками, создано около сорока Telegram-каналов. Об этом «Газете.Ru» рассказал основатель и владелец российской компании «Интернет-Розыск» Игорь Бедеров.

«Данная работа координируется через 40 сообществ. Есть крупные, есть мелкие. Бывает, что более крупные разделяются по направлениям, — например, исключительно для удара по банкам или СМИ», — отметил г-н Бедеров.

Исключительность этой ситуации состоит в том, что к участию в таких атаках призвал министр цифровой трансформации Украины Михаил Фёдоров. В интервью иностранным СМИ глава украинского ведомства не раз говорил, что организовал «первую в мире киберармию».

«На данный момент у нас около 300 тыс. специалистов. Участие добровольное, и мы организуем его через Telegram, куда выкладываем ежедневные задания. Личного контакта с киберволонтёрами нет», — сообщил Фёдоров в интервью испанской газете El País ещё 27 апреля.

По оценке Игоря Бедерова, в атаках принимает участие около 650 тыс. человек. Но это дать точные оценки очень сложно.

Такого же мнения о невозможности оценки количества участников атак придерживается и директор экспертного центра безопасности компании Positive Technologies Алексей Новиков.

«Только в одном из чатов, где координируются атаки, мы видим около 300 тысяч участников. Сколько атакующих на самом деле, оценить невозможно. Но ясно, что меньше их не становится», – рассказал Новиков «Газете.Ru».

По словам Игоря Бедерова, мессенджер Telegram никак на данную активность не реагирует. И каналы, и их администраторы связаны друг с другом.

«Есть админы, которые держат несколько чатов. Мы их идентифицировали. И мы знаем, что там одни и те же администраторы, которые начинали эту историю и в дальнейшем её курировали. Нам удалось идентифицировать около 20 человек. Им примерно 23-30 лет. Много учащихся технических вузов, студентов», — отметил Бедеров.

По словам специалиста, большинство участников данных сообществ используют либо общедоступное программное обеспечение, которое размещают в сообществе, либо внешний веб-сайт, где ПО уже размещено. То есть уровень и участников, и организаторов очень низок.

Российские сайты, что называется, ддосят — DDoS-атака до сих пор остаётся самым простым и самым эффективным способом «положить» выбранный интернет-ресурс. Это массовая отсылка запросов на выбранный сервер или веб-сайт. Количество подобных запросов должно превышать все возможные лимиты, что возможно благодаря тысячам участников — реальных компьютеров или ботов.

Реальная DDoS-атака предполагает «массовость» каких-либо действий, например: направление на сервер некорректных инструкций, выполнение которых приводит к аварийному завершению работы. Или массовая атака ложными адресами, что приводит к «забиванию» каналов связи. Можно перенаправить огромное количество пользовательских данных на сервер, что приводит к их бесконечной обработке. Цель DDoS–атаки в том, чтобы выбранный для атаки сервер перестал работать.

Для этого Министерство цифровой трансформации Украины организовало Telegram-канал «IT ARMY of Ukraine». Там ежедневно присылают список адресов российских сайтов, на которые надо совершить DDoS–атаку.

Самые свежие цели, на которые была направлена активность украинской IT-армии (от 25 мая), — это Московская и Санкт-Петербургская валютные биржи.

По итогам атак в Telegram-канале появляются ободряющие cообщения. Например, вот такие: «Давайте сегодня закрепим результаты последних дней и подержим (оставим в неработающем состоянии) ресурсы российских банков и МФО».

Для доказательства успеха атак публикуются скрины сообщений в российских СМИ или скрины страниц неработающих сайтов компаний. Вот такое было размещено 23 мая: «Несколько крупнейших российских микрофинансовых организаций остановили утром 23 мая свою работу из DDoS–атак на свои сайты. Более 20 компаний остановили выдачу онлайн-займов».

Есть также ассоциированные с «IT ARMY of Ukraine» другие каналы, которые помогают в атаках «Министерству цифровой трансформации Украины». Благодарности кураторам этих каналов регулярно появляются в «IT ARMY».

«Газета.Ru» насчитала еще 12 постоянных сообществ, среди которых «Украинский жнец», «КіберПаляниця», «Студенческий комитет кибербезопасности и обороны Украины», CYBER CERBER, «Гайдамаки», »Anonymous – Украина» и другие.

Некоторые организаторы атак постоянно работают над усовершенствованием своего «IT-оружия». Например, организаторы канала «Украинский жнец» примерно раз в пять дней сообщают об обновлении своей программы Multiddos.

«Напоминаем об обновлении mhddos_proxy, которое позволяет еще эффективнее атаковать российские ресурсы. Инструкция доступна по ссылке. А также о телеграмм боте, которому можно предоставить свои облачные ресурсы, а он в свою очередь будет централизованно запускать атаку с них», — пишут кураторы «Украинского жнеца».

Как рассказал «Газете.Ру» технический директор Swordfish Security Антон Башарин, Multiddos создано специально для осуществления DDoS-атак и не является модификацией какой-либо администраторской утилиты.

«Это ПО представляет собой интерфейс для работы с несколькими инструментами. Часть из них была известна ранее, часть была разработана относительно недавно. Утилита Multiddos, известная ранее как auto_mhddos, появилась в сети в середине марта этого года», – отметил Башарин.

По его словам, это ПО обладает рядом неплохих характеристик. Оно объединяет в себе несколько утилит и для осуществления DDoS-атак, и для мониторинга.

«Multiddos формирует трафик, похожий на действие реального пользователя, применяя очень много случайных данных. Очевидно, что для формирования структуры запросов и их последовательности используется трафик реальной системы, либо компиляция из нескольких систем», — говорит Башарин.

Ради постоянного обновления системы «Украинские жнецы» регулярно ищут специалистов. В требуемых навыках: умение создавать вирусы, пентестить (умение находить уязвимости и проблемы в чужом ПО, – «Газета.Ru»), создавать фишинговые сайты. Еще в приоритете – много свободного времени, которое, как можно предполагать, будет затрачено на совершенствование «IT-оружия».

Специалисты компании Positive Technologies и других компаний, которые профессионально занимаются безопасностью, просматривают сообщения с указанием целей атак на таких Telegram-каналах, чтобы, по возможности, предотвратить их, — объясняет Алексей Новиков. Но удается предупредить только атаки на компании, которые заранее были защищены, причем как со своей стороны, так и со стороны провайдера. #bryakingnews

Подписывайтесь на наш уютный Telegram-канал «Брянск.Ньюс», группу «ВКонтакте» «Брянск | News» — ссылки на самые интересные новости и значимые репосты



Обсуждение ( 0 комментариев )

Читайте также