«Яндекс» использовали для атаки на сайт оппозиции

Специалисты из компании Highload Lab, занимающейся защитой сайтов от DDoS-атак, рассказали «Известиям», что сайт оппозиции, на котором проводились выборы в Координационный совет (КС), вначале подвергся так называемой «социальной» атаке, проведенной любителями, а затем в бой пошли профессиональные хакеры, в распоряжении которых была серия ботнетов, один из которых насчитывал 84 тыс. компьютеров. Из-за этой атаки время выборов было продлено до понедельника.

Как рассказал «Известиям» гендиректор Highload Lab Александр Лямин, атаки осуществлялись в два этапа — вначале это был так называемый «социальный DDoS». Для этой атаки на ряд популярных сайтов (например, пиратский игровой сервер l2start.com) были добавлены средства незаметного для пользователя открытия веб-страницы hellotesak.narod.ru, которая располагается на хостинге компании «Яндекс». В код этой страницы были добавлены вредоносные элементы, бомбардирующие мусорными запросами сайт выборов в КС.

Таким образом, незаметно для себя в атаке участвовали десятки тысяч посетителей этих сайтов. Нападение было реализовано с помощью программы управления атаками, известной как LOIC, — «Низкоорбитальная ионная пушка». Вариации данного приложения популярны у известной хакерской группировки Anonymous.

Аналогичную схему в апреле использовала социальная сеть «В Контакте» для «предупреждения» сайта antigate.com, и метод этого «предупреждения» был впоследствии подробно описан на сайте HabraHabr. Тогда у всех пользователей «В Контакте» на странице в программном коде появилась строчка, автоматически подгружающая страницу antigate.com. В конце ссылки защитой в коде скрывалось сообщение «...first_and_last_warning...» (первое и последнее предупреждение). Таким образом, каждый пользователь «В Контакте», сам не зная того, участвовал в социальной DDoS-атаке. На момент написания текста получить комментарий от «В Контакте» не удалось.

18 октября после жалобы специалистов Highload Lab в «Яндекс» вредоносный скрипт был удален. Мощности атаки, которую производил этот ресурс на сайт оппозиции, вполне хватило, чтобы прекратить его работоспособность.

Ситуацию пояснил заместитель руководителя департамента эксплуатации компании «Яндекс» Владимир Иванов.

— Сайты «Яндекса» не принимали участия в атаке на серверы КС. На сайте hellotesak.narod.ru был расположен вредоносный код, который исполнялся в браузерах пользователей, посетивших сайт, и таким образом компьютеры пользователей могли принять участие в атаке. После обнаружения этого факта сайт был заблокирован нашими сотрудниками в соответствии с п. 2.5 Пользовательского соглашения, — сказал он.

Лямин пояснил, что интернет-ресурсы имеют определенный уровень вычислительных мощностей, которые позволяют обрабатывать конечное число запросов в секунду. Если это число будет превышено, то сайт автоматически перестает работать. Ориентировочно этот параметр у сайта оппозиции составлял 150–200 запросов в секунду, и установить для данных условий столь низкую планку было большой оплошностью. Как правило, такого количества запросов достаточно для небольшого интернет-магазина, но слишком мало для ресурса, рассчитанного на всю Россию.

Директор медиаагентства «Легенда» Антон Коробков-Землянский указывает, что с учетом общего количества зарегистрировавшихся для участия в выборах в КС — порядка 100 тыс. человек — вычислительных мощностей должно было хватить.

— У сайта график посещения распределен. Там не предполагался одновременно большой поток посетителей. Для функционирования сайта это вполне адекватно, — считает он. — Но если говорить о защите от DDoS-атак — этого мало. Если взять сайт программы «Минаев live», то на него бывали атаки мощностью до 100 тыс. запросов за секунду. От них они успешно отбивались. Тут такого не было.

Вечером 20 октября вход вступила тяжелая артиллерия — хакеры, располагавшие серией ботнетов — сетей зараженных компьютеров, управляемых удаленно и использующихся для атак. По мнению представителей Highload Lab, если предыдущая атака была любительская, то эту уже можно отнести к категории коммерческих. Всего в атаке участвовало около 135 тыс. IP-адресов, а самый большой ботнет насчитывал 84 тыс. компьютеров. Для примера: средний размер ботнета во время атак насчитывает около 2 тыс. Максимальная мощность атаки, когда-либо зафиксированной специалистами Highload Lab, составляла 250 тыс. машин, в 2011 году пострадал сайт Slon.

В самой компании Highload Lab, обеспечивающей безопасность сайта оппозиции, пояснили, что их система спасает от 99,9% атак, но просочившейся части в данном случае могло хватить для того, чтобы вывести сайт из строя.

По мнению Коробкова-Землянского, сайт мог и не выходить из строя, а это могло быть сделано искусственно, для того чтобы поднять скандал в СМИ и привлечь как можно больше внимания к своему ресурсу.