В «Лаборатории Касперского» не понимают, почему администрация ЖЖ не требует расследования кибератак
5 апреля 2011 года
Эксперты антивирусной компании «Лаборатория Касперского» недоумевают, почему представители блог-сервиса LiveJournal, дважды за последние несколько дней подвергшегося массированным DDoS-атакам, до сих пор не обратились в правоохранительные органы с заявлением по этому поводу.
Более того, в СМИ звучат заявления о том, что «такое уголовное дело не имеет перспективы». Между тем, пишет эксперт ЛК Мария Гарнаева, налицо все признаки преступления, классифицируемого по 273 статье УК РФ «Создание и распространение вредоносных программ».
У российских правоохранительных органов и судов, напоминает она, уже накоплен хороший опыт применения этой статьи.
Точно не известно, сколько ботнетов принимают участие в организации атаки, однако доподлинно известен по крайней мере один такой ботнет, пишет эксперт.
Ботнетом, напомним, называют сеть, состоящую из хостов с запущенными на них «ботами» (сокращение от слова «робот») - автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на компьютере жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов зараженного компьютера.
Их используют для разного рода нелегальной или нежелательной деятельности: рассылки спама, перебора паролей на удаленной системе, атак на отказ в обслуживании (DDoS) и т.п.
Ботнет, примененный злоумышленниками против ЖЖ, построен на основе DDoS-бота Darkness/Optima, весьма популярного в данный момент на черном рынке русскоязычной киберпреступности.
На продажу предлагаются не только троянские программы (боты), но и построенные на их основе сети зараженных машин, а также услуги по проведению DDoS-атак на указанный ресурс в интернете.
Один из таких Optima-ботнетов уже некоторое время находится под наблюдением специалистов из ЛК. По их данным, первая DDoS-атака на ЖЖ была осуществлена еще 24 марта. Владельцы ботнета отдали команду на проведение атаки на адрес блога Алексея Навального. 26 марта боты получили команду старта атаки на еще один ресурс борца с коррупцией - «РосПил», а 1 апреля атаке подвергся сайт rutoplivo.ru.
Представители LiveJournal впервые о DDoS-атаке заявили 30 марта. В этот день в ЛК зафиксировали атаку посредством ботнета Optima только на navalny.livejournal.com. А вот 4 апреля боты получили внушительный список, включающий в себя несколько десятков ссылок на блоги многих популярных пользователей данного сервиса.
В этом списке представлены блоги самых разных людей, пишущих о совершенно разных вещах и являющихся одними из самых популярных авторов, так называемыми «тысячниками». Было ли это попыткой размыть реальную цель атаки, которая явно была обозначена среди первых попыток DDoS, или список неугодных блогов стал шире - неизвестно.
Бот Optima на киберпреступном рынке Рунета появился в конце 2010 года, достаточно быстро набрав большую популярность. Функционал данного бота, по данным ЛК, помимо возможности осуществления DDoS-атак включает в себя также загрузку других исполняемых файлов и кражу паролей от многих популярных программ (FTP-клиентов, IM, почтовых клиентов, браузеров и др.).
Косвенные данные также свидетельствуют о том, что ботнет большой, объединяющий десятки тысяч инфицированных машин, и что его владельцы принимают (и получают) заказы на «загрузку» других вредоносных программ.
Если внимательно посмотреть на список целей данного ботнета, то из общего ряда выбивается атака на сайт kredo-m.ru, компании, занимающейся изделиями из дерева и мебелью. Этот факт дает возможность предположить, что владельцы ботнета действительно продают свои услуги по DDoS-атакам всем желающим и атаку могли заказать, как это часто бывает, конкуренты по бизнесу.
В период проведения DDoS-атак, описанных выше, боты Optima также получали команду на загрузку новых версий Trojan-Downloader.Win32.CodecPack - об этой интересной вредоносной программе эксперт обещает подробнее рассказать в отдельной аналитической статье-исследовании.
Источники
правитьЛюбой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.