Женская красота (tettie) wrote,
Женская красота
tettie

Category:

Комментарии "Лаборатории Касперского" по поводу атаки на ЖЖ

В данный момент идет уже третья атака, но периодически до журнала можно достучаться, значит она не такая массированная как предыдущая. 4 апреля состоялась вторая массовая DDoS-атака на ЖЖ за последние несколько дней, и в средствах массовой информации Рунета муссируется масса слухов о целях и причинах атаки. Мария Гарнаева, эксперт "Лаборатории Касперского", поделилась с читателями сайта securelist.com своими соображениями насчет атаки и предоставила любопытные данные, собранные "Лабораторией Касперского".

Мы не знаем точно, сколько ботнетов принимают участие в организации атаки, но нам доподлинно известен по крайней мере один такой ботнет. Он построен на основе DDoS-бота Darkness / Optima, весьма популярного в данный момент на черном рынке русскоязычной киберпреступности. На продажу предлагаются не только троянские программы (боты), но и построенные на их основе сети зараженных машин, а также услуги по проведению DDoS-атак на указанный ресурс в интернете.

Один из таких Optima-ботнетов уже некоторое время находится под нашим наблюдением.

Анализ данных мониторинга показал, что первая DDoS-атака на ЖЖ была осуществлена ещё 24 марта. Владельцы ботнета отдали команду на проведение атаки на адрес блога Алексея Навального: navalny.livejournal.com. 26 марта боты получили команду старта атаки на еще один ресурс известного борца с коррупцией - rospil.info, а 1 апреля атаке подвергся сайт rutoplivo.ru.

В следующей таблице представлены ссылки, получаемые ботами для старта DDoS-атак, в период с 24 марта по 1 апреля:

24.03.2011 navalny.livejournal.com
25.03.2011 navalny.livejournal.com
25.03.2011 navalny.livejournal.com/569737.html
25.03.2011 livejournal.com/ratings/posts
26.03.2011 navalny.livejournal.com
26.03.2011 rospil.info
29.03.2011 rospil.info
30.03.2011 kredo-m.ru
30.03.2011 navalny.livejournal.com
01.04.2011 rutoplivo.ru

Стоит отметить, что впервые о DDoS-атаке представители LiveJournal заявили 30 марта. В этот день мы фиксировали атаку посредством ботнета Optima только на navalny.livejournal.com. А вот 4 апреля боты получили внушительный список, включающий в себя ссылки на блоги многих популярных пользователей данного сервиса:

livejournal.com
livejournal.ru
sergeydolya.livejournal.com
shpilenok.livejournal.com
tema.livejournal.com
radulova.livejournal.com
marta-ketro.livejournal.com
pesen-net.livejournal.com
doctor-livsy.livejournal.com
pushnoy-ru.livejournal.com
navalny.livejournal.com
dolboeb.livejournal.com
olegtinkov.livejournal.com
mi3ch.livejournal.com
belonika.livejournal.com
mzadornov.livejournal.com
tebe-interesno.livejournal.com
tanyant.livejournal.com
eprst2000.livejournal.com
drugoi.livejournal.com
stillavinsergei.livejournal.com
kitya.livejournal.com
vero4ka.livejournal.com
zhgun.livejournal.com
zyalt.livejournal.com
fritzmorgen.livejournal.com
miss-tramell.livejournal.com
sadalskij.livejournal.com
becky-sharpe.livejournal.com
roizman.livejournal.com
alex-aka-jj.livejournal.com
alphamakaka.livejournal.com
borisakunin.livejournal.com
kungurov.livejournal.com
plucer.livejournal.com
twower.livejournal.com

Специалистам в русскоязычной блогосфере должно быть очевидно, что в списке находятся блоги самых разных людей, пишущих о совершенно разных вещах и являющихся одними из самых популярных авторов, так называемыми "тысячниками". Было ли это попыткой "размыть" реальную цель атаки, которая явно была обозначена среди первых попыток DDoS, или список неугодных блогов стал шире - нам неизвестно.

Если внимательно посмотреть на список целей данного ботнета, то из общего ряда выбивается атака на сайт kredo-m.ru, компании занимающейся изделиями из дерева и мебелью. Этот факт дает возможность предположить, что владельцы ботнета действительно продают свои услуги по DDoS-атакам всем желающим и атаку могли заказать, как это часто бывает, конкуренты по бизнесу.

Стоит написать пару слов о виновнике атак - боте Optima. Впервые на русскоязычном киберпреступном рынке он появился в конце 2010 года, достаточно быстро набрав большую популярность. Функционал данного бота помимо возможности осуществления DDoS-атак включает в себя также загрузку других исполняемых файлов и кражу паролей от многих популярных программ (FTP-клиентов, IM, почтовых клиентов, браузеров, и др.).

Что же касается размеров ботнета, то у нас нет такой информации, однако есть косвенный факт, который может прояснить этот вопрос. В период проведения DDoS-атак, описанных выше, боты Optima также получали команду на загрузку новых версий Trojan-Downloader.Win32.CodecPack. Об этой интересной вредоносной программе вы скоро сможете прочитать подробнее в нашей отдельной аналитической статье-исследовании. Распространение через ботнет еще и CodecPack'а говорит о том, что ботнет большой - поскольку его владельцы принимают (и получают) заказы на "загрузку" других вредоносных программ. Учитывая размах работы владельцев CodecPack, можно смело сказать, что "работать" они будут только с одним из крупных ботнетов на рынке. А это, скорее всего, десятки тысяч инфицированных машин.

Мы весьма удивлены тем, что представители LiveJournal до сих пор не обратились в правоохранительные органы с заявлением по поводу атаки: "Мы не обращались в российские правоохранительные органы с заявлением о возбуждении уголовных дел, однако не исключаем такой возможности", - заявила руководитель Livejournal Russia Светлана Иванникова. Более того, в СМИ звучат заявления о том, что «такое уголовное дело не имеет перспективы". C нашей точки зрения, в данной атаке налицо все признаки преступления, классифицируемого по 273 статье УК РФ "Создание и распространение вредоносных программ". У российских правоохранительных органов и судов уже накоплен хороший опыт применения этой статьи.

Мария Гарнаева, эксперт «Лаборатории Касперского»
Опубликовано 5 апреля 2011, 14:14 мск
Источник: http://www.securelist.com




Subscribe
promo tettie april 12, 2011 00:11
Buy for 20 tokens
- Более 12 000 читателей; - Около 400 000 просмотров в месяц; - СК около 2000; - Посещаемость около 3000 уникальных пользователей в сутки; - топ-500 блогов ЖЖ; - Яндекс ИКС 500; - Возраст блога 10 лет, профессиональный аккаунт ЖЖ; - Аудитория блога (GA / Alexa): Россия (74% / 79.4%), Украина…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 8 comments