https://kasperskyhub.staging.wpengine.com/securelist-russia/api/get_post/?post_id=26959 { "status": "ok", "post": { "id": 26959, "type": "post", "slug": "ddos-ot-samyx-malenkix", "url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/blog/issledovaniya/26959/ddos-ot-samyx-malenkix/", "status": "publish", "title": "DDoS от самых маленьких", "title_plain": "DDoS от самых маленьких", "content": "

Услугами нашего сервиса защиты от DDoS-атак пользуются самые разные организации – коммерческие компании, государственные учреждения, банки, средства массовой информации. В большинстве случаев мотивация злоумышленников, атакующих сайт какой-либо организации, достаточно прозрачна: DDoS используется как средство конкурентной борьбы, применяют его и по причинам политического характера.

Однако есть и другие интересные категории клиентов, которые, как кажется, не должны интересовать злоумышленников. Так, образовательный портал республики Татарстан, на первый взгляд не представляет никакого интереса ни с политической, ни с финансовой точек зрения. Тем не менее, он уже больше года подвергается постоянным DDoS-атакам разных типов, варьирующейся мощности и продолжительности. Так как все это время портал находится под нашей защитой, злоумышленники не добились ни малейшего успеха, но это их почему-то не останавливает. С таким упорством мы сталкиваемся нечасто – как правило, DDoS-атаками занимаются профессионалы, время и ресурсы которых не бесплатны, потому столкнувшись с защищенным сайтом они перебирают доступный инструментарий и, в случае неудачи, прекращают атаку, чтобы не терять деньги впустую. Но в рассматриваемом случае все не так, и это нас заинтересовало – что же заставляет наших неизвестных оппонентов вновь и вновь осуществлять безрезультатные попытки «положить» образовательный портал?

Но начнем немного издалека. Почерк злоумышленников говорит о том, что они не слишком искушены в своем деле: большинство атак были недолги, незамысловаты и относительно слабы. Хотя стоит отметить, что зачастую, обнаружив недейственность избранной тактики, злоумышленники меняли тип атаки, которые периодически достигали внушительной мощности. В последнее время, отчаявшись добиться успеха более «тонкими» средствами, наши оппоненты перешли на мощные UDP-атаки с отражением – NTP Amplification и подобные. Так, 4 марта этого года неизвестные в течение 42 минут осуществляли атаку мощностью 10 Гбит/с, а 20 августа сумели показать уже 19,8 Гбит/с

Однако это по-прежнему ничего не говорит нам об их мотивах. Атакам подвергались сайты edu.tatar.ru и tol.edu.tatar.ru, потому принцип «скажи мне, кто твоя жертва, и я скажу, кто ты» вел в очевидный тупик. Первый сайт – образовательный портал, на котором можно посмотреть оценки и расписание занятий, второй – и вовсе онлайн-учебник татарского языка. Кому могло понадобиться «атаковать» учебник? Все это никак не вязалось с используемыми современными методами и завидной настойчивостью атакующих.

Как говаривал Шерлок Холмс, «отбрось невозможное, оставшееся невероятное и будет ответом». Обнаруженная группа в «ВКонтакте», посвященная DDoS-атакам на нашего клиента, оказалась населена… учащимися различных учебных заведений Татарстана. Описание группы гласит: «Каждый день в 14:00 ДДосим сайт еду татар…». Невероятно, но это, видимо, и есть наши загадочные злоумышленники.

$\"DDoS$

Правда, на отпетых злодеев участники группы не очень похожи. Да, они обсуждают тактику атак на ненавистный им сайт и предлагают всем желающим присоединиться, для чего нужно лишь установить специальную программу. Но количество активных участников группы невелико, да и мотивация по-прежнему не очень ясна даже для самих участников: на стене группы опубликованы резонные вопросы «Зачем его досить? Оценки как смотреть?», остающиеся без ответа.

Но теперь мы знали, что именно надо искать. Изучив выдачу поисковых систем на темы «ддос edu.tatar.ru» и «взломать edu.tatar.ru» мы выяснили, что запросы о том, как пресечь работу edu.tatar.ru, пользуются большой популярностью. К примеру, на одном из порталов вопросов и ответов между вопросами о том, как убрать отражение в зеркале и как завладеть миром, уже третий год висит отчаянный призыв «Помогите пожалуйста. Хочу убрать смс рассылку с сайта edu.tatar.ru, а то надоело ругают за плохие оценки!!». Вот и возможный мотив.

$\"DDoS$

Что интересно, на запрос про рассылку оценок на сайтах edu (образовательные порталы) в верхних строчках выдаются посторонние рекламные сайты, что говорит о применении метода отравления поискового движка. А это, в свою очередь, свидетельствует прежде всего о большой частоте запросов такого рода.

Так детективная история обернулась фарсом. Студенты и школьники, с усидчивостью, натренированной на уроках и в корейских MMORPG, из года в год атакуют, как они думают, источник своих проблем – сайт, оповещающий родителей о полученных их чадом оценках. Но при всей комичности ситуации, из нее напрашиваются весьма тревожные выводы.

Главный вывод – современные тактики DDoS-атак «пошли в народ». Инструменты, позволяющие организовать атаки с усилением, достигающие значительной мощности, стали общедоступны – их уже не просто задешево продают, их раздают бесплатно! В свою очередь, стремительно ширится диапазон целей, теперь подвергнуться мощной DDoS-атаке может не только сайт, всерьез мешающий кому-то, но и любой портал, вызвавший недовольство нескольких более-менее грамотных в области DDoS интернет-пользователей.

А ведь даже простая и не слишком сильная DDoS-атака – это серьезная угроза для неподготовленного ресурса. Статистика, собираемая нашей системой мониторинга DDoS (DDoS Intelligence) показывает, что успешные атаки могут непрерывно продолжаться недели и даже месяцы, пока цель не понесет достаточный, с точки зрения злоумышленников, ущерб, или не обзаведется защитой. В данном случае студенты имели все возможности для того, чтобы надолго блокировать работу ненавистного им сайта, что и произошло бы, не будь он защищен с помощью Kaspersky DDoS Prevention.

В то же время участники и организаторы атак вполне могут не догадываться о существовании законов, направленных на противодействие киберпреступности, в том числе DDoS-атакам. Иначе говоря, уже сейчас таким вот «хакерам-энтузиастам» грозит не просто вызов родителей в школу, и даже не отчисление из учебного заведения, а вполне реальное уголовное дело.

Невинные, казалось бы, действия «вступил в группу «ВКонтакте», скачал программу, запустил в условленное время, ушел гулять» считаются уголовным преступлением, и незнание изданных на этот счет законов не освободит от ответственности ни самого незадачливого учащегося, ни его родителей. Последним грозит, как минимум, возмещение финансового ущерба, причиненного их чадом владельцу атакованного ресурса. А ущерб может оказаться значительным – от 52 до 444 тысяч долларов США (http://www.anti-malware.ru/news/2015-03-12/15762). И организаторам, и участникам этих атак остается лишь надеяться на то, что пострадавший не подаст заявление в полицию или управление «К» МВД не заинтересуется этим делом самостоятельно.

\n", "excerpt": "Образовательный портал республики Татарстан, на первый взгляд, не представляет никакого интереса ни с политической, ни с финансовой точек зрения. Однако он уже больше года подвергается DDoS-атакам. Что же движет атакующими?", "date": "2015-09-16 11:56:36", "modified": "2015-09-16 11:56:36", "categories": [ { "id": 2, "slug": "blog", "title": "В постах", "description": "", "parent": 0, "post_count": 5831 }, { "id": 15, "slug": "issledovaniya", "title": "Исследования", "description": "", "parent": 2, "post_count": 233 } ], "tags": [ { "id": 12, "slug": "dos-ataki", "title": "DDoS-атаки", "description": "", "post_count": 85 }, { "id": 26, "slug": "protivodejstvie-kiberprestupnikam", "title": "Противодействие киберпреступникам", "description": "", "post_count": 61 }, { "id": 32, "slug": "sotsial-ny-e-seti", "title": "Социальные сети", "description": "", "post_count": 119 } ], "author": { "id": 670, "slug": "alexeykiselev", "name": "Алексей Киселев", "first_name": "Alexey", "last_name": "Kiselev", "nickname": "Alexey Kiselev", "url": "", "description": "" }, "comments": [ { "id": 75190, "name": "Илья", "url": "", "date": "2015-12-07 11:25:28", "content": "

Да он особо и не защищен вроде как, я так ручками маленько по фазил csrf и sql injection нашел на нем! Думаю школоте на таких сайтах самое оно тренить..

\n", "parent": 0 } ], "attachments": [ { "id": 26961, "url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2015/09/little_ddos_1.png", "slug": "little_ddos_1", "title": "little_ddos_1", "description": "", "caption": "", "parent": 26959, "mime_type": "image/png", "images": [] }, { "id": 26962, "url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2015/09/little_ddos_2.png", "slug": "little_ddos_2", "title": "little_ddos_2", "description": "", "caption": "", "parent": 26959, "mime_type": "image/png", "images": [] }, { "id": 26971, "url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2015/09/little_ddos_22.png", "slug": "little_ddos_22", "title": "little_ddos_22", "description": "", "caption": "", "parent": 26959, "mime_type": "image/png", "images": [] }, { "id": 26974, "url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2015/09/little_ddos_11.png", "slug": "little_ddos_11", "title": "little_ddos_11", "description": "", "caption": "", "parent": 26959, "mime_type": "image/png", "images": [] } ], "comment_count": 1, "comment_status": "open", "custom_fields": { "securelist-show-toc": [ "" ], "twitterCardType": [ "summary" ], "cardImageWidth": [ "280" ], "cardImageHeight": [ "150" ], "ga_time": [ "1446535476" ], "ga_views": [ "1523" ], "ga_trend": [ "6.58111220796E-5" ], "kss_ga_trend": [ "6.45869663502E-5" ], "kss_ga_time": [ "1463446203" ], "kss_ga_views": [ "2144" ] } }, "previous_url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/blog/mneniya/26955/mozhno-li-pobedit-neizbezhnoe-zlo/", "next_url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/analysis/obzor/27029/ya-est-hdroot-chast-1/" }