DDoSтану кожного!

Не тільки нами помічено: у переліку брудних методів боротьби за депутатські мандати в цю парламентську кампанію кібертехнології посідають особливе місце. Їх масове застосування деякі експерти навіть називають трендом виборів-2012. Звичайно, на тлі штурмів «Беркутом» окружних виборчкомів або, ще раніше, відвертого шахрайства при формуванні комісій, малозрозумілі основній масі виборців витівки в не всім іще доступному і не всім потрібному Інтернеті можуть здатися дрібницями. Причому наш народ і партії в розхожій думці єдині: зламування сайтів і поштових скриньок, мережеві і DDоS-атаки сприймаються не як злочин, а просто як технологія, з якою нібито неможливо боротися. Але світ цивілізований - який на один рівень загроз сьогодні ставить кіберзлочинність і тероризм - від нашої легкості у ставленні до цього явища має бути в шоці. З одного боку - справжній кіберрозбій на службі в політиків держави у центрі Європи, з іншого - блокування свободи слова у поки що найвільнішому інформпросторі України. Хоча, звичайно, відчуття жаху і протесту мало охопити кожного з нас, громадян країни, яка котиться до авторитаризму і дозволеного свавілля водночас.

«Технічні» негаразди

Списувати все на «чорних» технологів, яким «нашої країни не шкода», звичайно ж, наївно й нерозумно. Увесь бруд і протизаконні методи, які використовували технологи, без сумніву, були санкціоновані політиками - партійними вождями різного калібру, кандидатами або керівниками їхніх штабів, котрі виступали замовниками та оплачували замовлення на зламування поштових скриньок, розсилання спаму і DDоS-атаки. Оплачували, звісно, не з виборчих фондів, а «чорною готівкою» з «чорних» кас, тобто брудними грішми, тим самим піднімаючи рівень політичної корупції в країні на нові висоти.

Багатий арсенал кримінальних методів і прийомів разом з прайсами на послуги та роботи спочатку відкрився широкій публіці в Одесі. Наслідком одного злочину - зламування поштової скриньки та акаунту в соцмережі російського технолога Семена Уралова, який працював у штабі лідера «Родины» Ігоря Маркова, став величезний масив інформації, що становить суспільний інтерес, а саме свідчення про інші злочини та ведення нечесної конкурентної боротьби. Серед них: організація DDоS-атак на недружні ресурси, розсилання спаму й телефонний троллінг від імені конкурента, створення підставних акаунтів у соцмережах тощо. Сам Уралов, підтверджуючи зламування пошти та свого акаунту, підозрює в цьому конкурента Маркова Олексія Гончаренка, нелюбого сина мера Одеси Костусєва, але заперечує участь у сумнівних розробках.

Слідом за Uralovleaks, який продовжував поповнюватися дедалі новими публікаціями, аналогічний скандал вибухнув у Криму. Джерелом нових пізнань у «чорних» технологіях стало листування людей з іменами головного піарника кримського штабу Партії регіонів Ігоря Шпілея і кандидатів від технічних партій, що працювали проти конкурентів-регіоналів у сімферопольських округах. Усі адресанти свою причетність до опублікованого заперечували. Та й не дивно: «ділове» листування представника замовника та виконавців містить тексти брудних публікацій в інтернет-ресурсах і, власне, створення таких (реанімація сайта для публікацій «компромату» на лідерів опозиції), реєстрації клону громадського руху, а також кошториси на оплату агітації готівкою і навіть скарги на те, що в штабі регіоналів «бабло заникують».

Листування оприлюднив лідер партії «Союз» Лев Миримський, проти якого також були задіяні ці технології і який, до слова, став єдиним нерегіоналом, що переміг у мажоритарному окрузі в Криму. Боротьба із цим кандидатом, судячи із заяви найбільшого українського хостера, могла бути причиною потужної хвилі DDоS-атак. Як повідомляв в інтерв’ю президент Mirohost Олександр Ольшанський, атаки почалися за кілька днів до дня голосування. 25 жовтня було зафіксовано 16 одночасних атак різних типів на різні ресурси, а 27 жовтня, за словами Ольшанського, стався безпрецедентний випадок: у компанію двічі зателефонував невідомий, вимагаючи відключити сайт Миримського, погрожуючи атакою не тільки на нього, а й на інші ресурси Mirohost.

Нічні дзвінки від імені конкурентів, здавалося, вже давно забутий печерний піар часів дротових телефонів. Таж ні, і ця капость знадобилася, причому у всеукраїнському масштабі - людей будили й тероризували рекламою від опозиції та Юлії Тимошенко особисто, пісенькою «вибори, вибори», або й просто безперервним набором. На телефон кримського медіаюриста Арсена Османова, заявлений напередодні для цілодобової правової гарячої лінії для журналістів, з другої до восьмої години ранку зроблено 620 дзвінків. Але головна технологія стосувалася незалежних нових медіа - джерел не контрольованих владою та партійними штабами інформації.

«Сайтоповал»

Жертви жовтневих DDоS-атак (а є підстави говорити про кілька хвиль) можна розділити на три умовні категорії. Це інтернет-представництва держорганів, партій і кандидатів, другий ешелон - сайти громадських організацій, які ведуть моніторинг порушень під час виборчої кампанії, у тому числі й методом краудсорсингу (про порушення повідомляли виборці). І третій загін, що потрапив під атаки, - засоби масової інформації, причому, що важливо, які можуть вести прямі трансляції з будь-якого конфліктного осередку без особливих фінансових і технологічних витрат.

1. Сайти політиків, партій і державні інтернет-ресурси

Розрізнені повідомлення про атаки на сайти партій та особисті сайти політиків надходили всю виборчу кампанію, але хвилі, які накривають одночасно кілька сайтів, пішли в жовтні. 16 жовтня, за повідомленням Кримської організації Партії регіонів, було зроблено спробу зламати її сайт, а потім було створено його клон, на якому опублікували несправжню заяву лідера кримських регіоналів Анатолія Могильова. 17 жовтня в результаті DDоS-атак «лягли» сайти партій «Батьківщина», «Фронт змін» і персональні сайти Юлії Тимошенко та Анатолія Гриценка.

28 жовтня з 13.00 список атакованих ресурсів розширився.

«DDоS-ударами хакери завалили мій персональний сайт. Також персональні сайти Тимошенко, Турчинова і Яценюка. Влада, очевидно, вирішила до фальсифікацій на дільницях додати ще й комп’ютерні ігри з сайтами опозиціонерів? Працюємо над відновленням роботи сайтів, але б’ють не «чайники» - професіонали», - писав А.Гриценко у Facebook.

У свою чергу прес-служба ПР заявила про атаку в цей самий час на свій офіційний сайт, обвинувативши опонентів у блокуванні достовірної інформації та провокаціях.

30 жовтня Державна служба спеціального зв’язку та захисту інформації України повідомила, що в день виборів з 16.04 DDоS-атака також велася на сайти Центральної виборчої комісії (ЦВК) і президента України. Як уточнив DT.UA керівник прес-служби відомства Юрій Конопацький, атак було кілька. Крім того, цього ж дня було зафіксовано понад 2300 мережевих атак, «успішна реалізація яких могла призвести до порушення цілісності та достовірності інформації на сайтах президента і ЦВК».

2. Сайти громадських організацій, які ведуть моніторинг дотримання виборчих прав

Сайти Громадянської мережі «ОПОРА», сайт і два виборчі проекти Комітету виборців України, проекти «Інтерньюз-Україна» Electua.org і сайту «Майдан» були атаковані годиною пізніше від партійних сайтів - приблизно о 14.00. У результаті «ОПОРА» мусила перенести оприлюднення оперативного статистичного підрахунку голосів, оскільки, як повідомлялося, сайт та сервер, на якому оброблялася інформація і зберігалася база даних порушень, були недоступні.

Як повідомив DT.UA керівник прес-служби мережі «ОПОРА» Юрій Хорунжий, щоб донести інформацію, довелося задіяти інші канали поширення інформації - розсилки, соціальні мережі. За його словами, атака тривала аж до середи, у ній брало участь до 3 тисяч ботів. Тимчасові й технічні параметри атак на ресурси «ОПОРИ» та «Інтерньюз-Україна», які перебувають на різних серверах, у різних хостерів та в різних країнах, за словами представників ГО, практично збігаються.

3. І, нарешті, останній пул жертв «сайтоповалу» - нові медіа, інтернет-видання

На жаль, жодна з моніторингових організацій і груп поки що не оприлюднила зведену інформацію про те, скільки інтернет-видань було піддано атакам під час виборчих перегонів, і конкретно - в день виборів. Сподіватимемося, у фінальних звітах моніторингів цю інформацію буде відбито, оскільки кіберзлочинність у таких випадках приростає ще однією статтею КК - 171-ю, що передбачає відповідальність за перешкоджання професійній діяльності журналістів.

Характерна деталь: чимало ЗМІ, котрі піддалися атаці 28 жовтня, мали свого роду провісників - дзвінки з пропозиціями/погрозами, зломи в середині місяця або напередодні дня голосування, й атаки не припинилися після його закінчення.

Костянтин Леонтьев, генеральний директор ПАТ «Інфінсервіс», в офіційному коментарі повідомляв, що DDoS-атака на фінансовий портал FINANCE.UA розпочалася 26 жовтня. «Останнім часом до нас надходили дзвінки з анонімними попередженнями та проханнями зупинити частину сервісів або портал загалом. Певна річ, ми не домовилися. Дзвінки припинилися й відразу розпочалася DDoS-атака», - повідомляв К.Леонтьєв.

Із 2 листопада розпочалися потужні атаки на сайт Lb.ua, повідомляє шеф-редактор видання Соня Кошкіна на своїй сторінці у Facebook. «Нас багато разів атакували, але такого, за словами фахівців, ще не було», - пише шеф-редактор, не знаходячи відповіді на запитання, кому це потрібно й чому тепер, тобто після виборів. Про атаки на свої портали у день виборів також заявляли два російські інформагентства, які мають в Україні представництва, - «РБК» і «Новый регион», кримський сайт якого зазнає атак із завидною регулярністю. Крім того, у Криму недоступними стали сайти ТРК «Черноморская», тижневика «События» і «Соціальна країна» - ЗМІ з умовного медіахолдингу лідерів кримських б’ютівців А.Сенченка та Л.Денисової.

У хвилю з 13.00 у день голосування були атаковані 10 інтернет-ресурсів найбільшої медіаорганізації Південного Сходу України - ГО «Інформаційний прес-центр» (ІРС). Недоступними стали портал «Центру журналістських розслідувань», сайти шести медіацентрів у містах півострова та проект ІРС-Севастополь «Гражданская оборона». 29 жовтня атака припинилася, однак у вівторок, 30-го, відновилася й тривала до неділі! Момент, на який ми вже звертали увагу, - DDoS-атаці в день виборів передувала спроба зламу сайту. Сталося це з сайтом «Центр журналістських розслідувань» через 15-20 хвилин після опублікування статті «Як роздобути 40 відсотків підтримки виборців», з розкриттям змісту інструктажу штабістів кримських регіоналів щодо технологій мобілізації електорату, про що DT.UA також писало. Внаслідок зламу стаття за доступністю поводилася як чеширський кіт, то зникаючи зовсім, то з’являючись, але без слова «регіон» у тексті.

Судити про природу і причини цих DDoS-атак автору легко, оскільки я голова правління цієї організації й керівник Центру журналістських розслідувань і можу з усією повнотою відповідальності сказати, що зазначені ресурси - фактично єдині в Криму, хто не «джинсував, не виконував команд і прохань зі штабів, і хто вже треті вибори проводить розслідування фінансування політичних кампаній. Але, звісно ж, цей матеріал продиктований не тільки власними проблемами. Обговорення з колегами ситуації, коли в кібервійну були втягнуті і сайт ЦВК, і партійні сайти, і проекти громадських організацій - спостерігачів, і незалежних ЗМІ, наводить на думку про необхідність міцно й солідарно замислитися, як цьому лиху протистояти.

Куди стукати?

Спочатку, звісно, ЗМІ і громадським працівникам слід зрозуміти, що це було. Версія керівника Комітету виборців України Олександра Черненка така: «У когось виникли побоювання, що в нас, можливо, «арабська весна». І всі непідконтрольні ресурси вирішено було заблокувати - про всяк випадок. Це недорого. Прийшли розумники у штаби, сказали, що за тисяч п’ять доларів забезпечать таку роботу, і їм сказали - давай!». На думку О.Черненка, особливі побоювання у фальсифікаторів могла викликати можливість онлайн-трансляцій із проблемних комісій. «Це урок, і потрібно всім нам думати про захист - як технічний, так і юридичний - від таких злочинів», - вважає керівник КВУ.

У цьому сенсі слід звернути погляди на північну сусідку. Ні, не в плані, що всі негаразди звідти вслід за гастролерами-технологами, хоча й це має місце. Коли порівняти сценарії DDoS-атак на не залежні від Кремля ЗМІ в грудні 2011-го і травні 2012-го з тим, що в нас було у жовтні, ви знайдете багато спільного. Ще більше можна було б знайти в атаках на різні українські ресурси, якби ми з вами мали в Україні таку можливість, яка є в наших російських колег. Як мінімум три компанії - HighloadLab, що спеціалізується на вивченні та протидії DDoS-атакам (технологія Qrator ), проект Лабораторії Касперського Kaspersky DDoS Prevention і компанія Group-IB, яка розслідує комп’ютерні злочини, - сьогодні можуть служити і швидкою допомогою для атакованих ресурсів, беручи їх під захист під час атаки, і помічником у зборі необхідної інформації, навіть доказів для звернення у правоохоронні органи й суд.

Добра новина: Group-IB підписала угоду з українською фірмою «Уа лінукс», і незабаром послуги з розслідування DDoS-атак будуть можливі і в нас. Як повідомив DT.UA керівник компанії Володимир Попов, сьогодні, на жаль, і самі власники ресурсів не завжди розуміють, як потрібно захищатися. І йдеться не тільки про усунення вразливих місць ПЗ, навіть багато банкірів, у клієнтів яких крадуть гроші інтернет-рибалки (фішинг), воліють шукати зловмисників серед своїх ІТ-шників.

Проте, звісно, передусім потрібно звернутися в правоохоронні органи, тепер це МВС і його управління по боротьбі з кіберзлочинністю. Але, маючи за приклад звернення в СБУ та оперативне порушення кримінальної справи за заявою Анатолія Могильова за фактом атаки на сайт КРВ Партії регіонів, автор (як керівник Центру журналістських розслідувань) також звернулася в кримський главк СБУ. Не треба іронії! У п’ятницю, після завершення перевірки, у ГУ СБУ України в Криму повідомили про порушення кримінальної справи за фактом злочину, передбаченого ч.1. статті 361 КК (незаконне втручання в роботу комп’ютерів, систем та мереж).

Тепер увага: як повідомила DT.UA прес-секретар СБУ Марина Остапенко, за фактами DDoS-атак на сайти в жовтні 2012 року в СБУ із заявами про злочин звернулося всього дві особи: Анатолій Могильов і Валентина Самар. В обох випадках, як уже було сказано, порушено кримінальні справи. Де решта постраждалих?