Масштабную кибератаку, которая была нацелена на европейскую организацию, занимающуюся борьбой со спамом и сильно замедлила часть глобального интернет-трафика, организовала шайка хакеров из России и соседних стран, заявил глава российской фирмы, специализирующейся на защите от подобных атак.
Александр Лямин, возглавляющий московскую компанию Highload Labs, заявил, что, по его мнению, та же группировка, которая создала трудности пользователям по всему миру своей атакой на некоммерческую организацию Spamhaus Project, ранее нанесла ряд быстрых ударов по ведущим российским интернет-компаниям, проверяя свое оружие - технику, известную как Domain Name System Amplification.
«Мы впервые заметили инциденты с использованием этой технологии примерно полтора месяца назад в России, - говорит г-н Лямин. - Все началось с мизерных 10-20 гигабайтов (так в тексте, - прим. перев.) в секунду, но за следующий месяц она дошла до 60 и затем до 120 гигабайтов. Судя по всему, хакеры наращивали свою сеть взломанных серверов».
Атаки на Spamhaus начались 19 марта и в среду, по-видимому, пошли на спад. Некоторые эксперты утверждают, что ее мощность доходила до 300 гигабайтов в секунду, что сделало ее самой крупной атакой в истории. Впрочем, многие – и в том числе г-н Лямин – это оспаривают.
DNS Amplification – это манипуляция базовой системой, на которую опирается интернет. В ее рамках серверы системы доменных имен конвертируют запросы на поиск конкретного сайта (например, www.wsj.com) в INS-адреса (то есть цифровой код) и устанавливают соединение. Хакеры используют сеть скомпрометированных DNS-серверов, чтобы отвечать на ложные запросы, якобы исходящие от сайта-мишени, сильно увеличенными пакетами данных. Это бьет по сайту-мишени, но также сильно замедляет DNS-сервер – а значит, и множество других запросов. Так, по мнению экспертов, атака на Spamhaus задела миллионы пользователей.
Spamhaus считает, что за атакой стоит голландская хостинговая фирма Cyberbunker, которую она внесла в «черный список», обвинив ее в том, что она пропускает через свои серверы огромное количество спама.
Пока представители Cyberbunker и Spamhaus не ответили на просьбы дать комментарий. В заявлении на сайте Spamhaus говорится, «что о своей причастности к атаке заявил ряд людей, но мы пока не можем сказать, действительно ли они виновны».
Из-за «крайней деликатности этого вопроса» г-н Лямин не называл российские компании, которые пострадали раньше, но отметил, что речь идет о серверах, которые россияне используют каждый день».
«Мишенями стали известные компании с громкими именами, но атаки продолжались недолго, - подчеркнул он. – Мы думаем, это было сделано для похвальбы. Кроме того, от ударов пострадал интернет-мусор: порнография, мошенничество, наркотики, пиратство и т. д. Это выглядело, как будто дети играли в Робин Гуда».
По его словам, удары по российским компаниям, а также тот факт, что атаки начинались в основном в российское дневное время, заставляют его сотрудников предположить виновность «группы россиян или жителей ближайших соседних стран».
Г-н Лямин предполагает, что те, кто стоит за спамом, по которому ударила Spamhaus, наняли хакеров. Кибер-удар, как он считает, подражал атаке, предпринятой в октябре 2010 года, хотя та была примерно на 20% меньше по объему трафика.
«Такие атаки - не новость, - считает он. – И сомневаюсь, что эта - самая крупная».