Created
August 10, 2016 10:08
-
-
Save sedovolosiy/beb94fafb0caac1604bad1803d7ff359 to your computer and use it in GitHub Desktop.
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| https://kasperskyhub.staging.wpengine.com/securelist-russia/api/get_post/?post_id=26959 | |
| { | |
| "status": "ok", | |
| "post": { | |
| "id": 26959, | |
| "type": "post", | |
| "slug": "ddos-ot-samyx-malenkix", | |
| "url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/blog/issledovaniya/26959/ddos-ot-samyx-malenkix/", | |
| "status": "publish", | |
| "title": "DDoS от самых маленьких", | |
| "title_plain": "DDoS от самых маленьких", | |
| "content": "<p>Услугами нашего сервиса защиты от DDoS-атак пользуются самые разные организации – коммерческие компании, государственные учреждения, банки, средства массовой информации. В большинстве случаев мотивация злоумышленников, атакующих сайт какой-либо организации, достаточно прозрачна: DDoS используется как средство конкурентной борьбы, применяют его и по причинам политического характера.</p>\n<p>Однако есть и другие интересные категории клиентов, которые, как кажется, не должны интересовать злоумышленников. Так, <a href=\"http://edu.tatar.ru\" target=\"_blank\">образовательный портал республики Татарстан</a>, на первый взгляд не представляет никакого интереса ни с политической, ни с финансовой точек зрения. Тем не менее, он уже больше года подвергается постоянным DDoS-атакам разных типов, варьирующейся мощности и продолжительности. Так как все это время портал находится под нашей защитой, злоумышленники не добились ни малейшего успеха, но это их почему-то не останавливает. С таким упорством мы сталкиваемся нечасто – как правило, DDoS-атаками занимаются профессионалы, время и ресурсы которых не бесплатны, потому столкнувшись с защищенным сайтом они перебирают доступный инструментарий и, в случае неудачи, прекращают атаку, чтобы не терять деньги впустую. Но в рассматриваемом случае все не так, и это нас заинтересовало – что же заставляет наших неизвестных оппонентов вновь и вновь осуществлять безрезультатные попытки «положить» образовательный портал?</p>\n<p>Но начнем немного издалека. Почерк злоумышленников говорит о том, что они не слишком искушены в своем деле: большинство атак были недолги, незамысловаты и относительно слабы. Хотя стоит отметить, что зачастую, обнаружив недейственность избранной тактики, злоумышленники меняли тип атаки, которые периодически достигали внушительной мощности. В последнее время, отчаявшись добиться успеха более «тонкими» средствами, наши оппоненты перешли на мощные UDP-атаки с отражением – NTP Amplification и подобные. Так, 4 марта этого года неизвестные в течение 42 минут осуществляли атаку мощностью 10 Гбит/с, а 20 августа сумели показать уже 19,8 Гбит/с</p>\n<p>Однако это по-прежнему ничего не говорит нам об их мотивах. Атакам подвергались сайты edu.tatar.ru и tol.edu.tatar.ru, потому принцип «скажи мне, кто твоя жертва, и я скажу, кто ты» вел в очевидный тупик. Первый сайт – образовательный портал, на котором можно посмотреть оценки и расписание занятий, второй – и вовсе онлайн-учебник татарского языка. Кому могло понадобиться «атаковать» учебник? Все это никак не вязалось с используемыми современными методами и завидной настойчивостью атакующих.</p>\n<p>Как говаривал Шерлок Холмс, «отбрось невозможное, оставшееся невероятное и будет ответом». Обнаруженная группа в «ВКонтакте», посвященная DDoS-атакам на нашего клиента, оказалась населена… учащимися различных учебных заведений Татарстана. Описание группы гласит: «Каждый день в 14:00 ДДосим сайт еду татар…». Невероятно, но это, видимо, и есть наши загадочные злоумышленники.</p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2015/09/little_ddos_11.png\" rel=\"attachment wp-att-26974\" class=\"magnificImage\"><img id=\"26974\" src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2015/09/little_ddos_11.png\" alt=\"DDoS от самых маленьких\" width=\"931\" height=\"504\" class=\"aligncenter size-full wp-image-26974\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2015/09/little_ddos_11.png 931w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2015/09/little_ddos_11-300x162.png 300w\" sizes=\"(max-width: 931px) 100vw, 931px\" /></a></p>\n<p>Правда, на отпетых злодеев участники группы не очень похожи. Да, они обсуждают тактику атак на ненавистный им сайт и предлагают всем желающим присоединиться, для чего нужно лишь установить специальную программу. Но количество активных участников группы невелико, да и мотивация по-прежнему не очень ясна даже для самих участников: на стене группы опубликованы резонные вопросы «Зачем его досить? Оценки как смотреть?», остающиеся без ответа.</p>\n<p>Но теперь мы знали, что именно надо искать. Изучив выдачу поисковых систем на темы «ддос edu.tatar.ru» и «взломать edu.tatar.ru» мы выяснили, что запросы о том, как пресечь работу edu.tatar.ru, пользуются большой популярностью. К примеру, на одном из порталов вопросов и ответов между вопросами о том, как убрать отражение в зеркале и как завладеть миром, уже третий год висит отчаянный призыв «Помогите пожалуйста. Хочу убрать смс рассылку с сайта edu.tatar.ru, а то надоело ругают за плохие оценки!!». Вот и возможный мотив.</p>\n<p><a href=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2015/09/little_ddos_22.png\" rel=\"attachment wp-att-26971\" class=\"magnificImage\"><img id=\"26971\" src=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2015/09/little_ddos_22.png\" alt=\"DDoS от самых маленьких\" width=\"1085\" height=\"304\" class=\"aligncenter size-full wp-image-26971\" srcset=\"https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2015/09/little_ddos_22.png 1085w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2015/09/little_ddos_22-300x84.png 300w, https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2015/09/little_ddos_22-1024x287.png 1024w\" sizes=\"(max-width: 1085px) 100vw, 1085px\" /></a></p>\n<p>Что интересно, на запрос про рассылку оценок на сайтах edu (образовательные порталы) в верхних строчках выдаются посторонние рекламные сайты, что говорит о применении метода отравления поискового движка. А это, в свою очередь, свидетельствует прежде всего о большой частоте запросов такого рода.</p>\n<p>Так детективная история обернулась фарсом. Студенты и школьники, с усидчивостью, натренированной на уроках и в корейских MMORPG, из года в год атакуют, как они думают, источник своих проблем – сайт, оповещающий родителей о полученных их чадом оценках. Но при всей комичности ситуации, из нее напрашиваются весьма тревожные выводы.</p>\n<p>Главный вывод – современные тактики DDoS-атак «пошли в народ». Инструменты, позволяющие организовать атаки с усилением, достигающие значительной мощности, стали общедоступны – их уже не просто задешево продают, их раздают бесплатно! В свою очередь, стремительно ширится диапазон целей, теперь подвергнуться мощной DDoS-атаке может не только сайт, всерьез мешающий кому-то, но и любой портал, вызвавший недовольство нескольких более-менее грамотных в области DDoS интернет-пользователей.</p>\n<p>А ведь даже простая и не слишком сильная DDoS-атака – это серьезная угроза для неподготовленного ресурса. Статистика, собираемая нашей системой мониторинга DDoS (DDoS Intelligence) показывает, что успешные атаки могут непрерывно продолжаться недели и даже месяцы, пока цель не понесет достаточный, с точки зрения злоумышленников, ущерб, или не обзаведется защитой. В данном случае студенты имели все возможности для того, чтобы надолго блокировать работу ненавистного им сайта, что и произошло бы, не будь он защищен с помощью Kaspersky DDoS Prevention.</p>\n<p>В то же время участники и организаторы атак вполне могут не догадываться о существовании законов, направленных на противодействие киберпреступности, в том числе DDoS-атакам. Иначе говоря, уже сейчас таким вот «хакерам-энтузиастам» грозит не просто вызов родителей в школу, и даже не отчисление из учебного заведения, а вполне реальное уголовное дело.</p>\n<p>Невинные, казалось бы, действия «вступил в группу «ВКонтакте», скачал программу, запустил в условленное время, ушел гулять» считаются уголовным преступлением, и незнание изданных на этот счет законов не освободит от ответственности ни самого незадачливого учащегося, ни его родителей. Последним грозит, как минимум, возмещение финансового ущерба, причиненного их чадом владельцу атакованного ресурса. А ущерб может оказаться значительным – от 52 до 444 тысяч долларов США (<a href=\"http://www.anti-malware.ru/news/2015-03-12/15762\" target=\"_blank\">http://www.anti-malware.ru/news/2015-03-12/15762</a>). И организаторам, и участникам этих атак остается лишь надеяться на то, что пострадавший не подаст заявление в полицию или управление «К» МВД не заинтересуется этим делом самостоятельно.</p>\n", | |
| "excerpt": "Образовательный портал республики Татарстан, на первый взгляд, не представляет никакого интереса ни с политической, ни с финансовой точек зрения. Однако он уже больше года подвергается DDoS-атакам. Что же движет атакующими?", | |
| "date": "2015-09-16 11:56:36", | |
| "modified": "2015-09-16 11:56:36", | |
| "categories": [ | |
| { | |
| "id": 2, | |
| "slug": "blog", | |
| "title": "В постах", | |
| "description": "", | |
| "parent": 0, | |
| "post_count": 5831 | |
| }, | |
| { | |
| "id": 15, | |
| "slug": "issledovaniya", | |
| "title": "Исследования", | |
| "description": "", | |
| "parent": 2, | |
| "post_count": 233 | |
| } | |
| ], | |
| "tags": [ | |
| { | |
| "id": 12, | |
| "slug": "dos-ataki", | |
| "title": "DDoS-атаки", | |
| "description": "", | |
| "post_count": 85 | |
| }, | |
| { | |
| "id": 26, | |
| "slug": "protivodejstvie-kiberprestupnikam", | |
| "title": "Противодействие киберпреступникам", | |
| "description": "", | |
| "post_count": 61 | |
| }, | |
| { | |
| "id": 32, | |
| "slug": "sotsial-ny-e-seti", | |
| "title": "Социальные сети", | |
| "description": "", | |
| "post_count": 119 | |
| } | |
| ], | |
| "author": { | |
| "id": 670, | |
| "slug": "alexeykiselev", | |
| "name": "Алексей Киселев", | |
| "first_name": "Alexey", | |
| "last_name": "Kiselev", | |
| "nickname": "Alexey Kiselev", | |
| "url": "", | |
| "description": "" | |
| }, | |
| "comments": [ | |
| { | |
| "id": 75190, | |
| "name": "Илья", | |
| "url": "", | |
| "date": "2015-12-07 11:25:28", | |
| "content": "<p>Да он особо и не защищен вроде как, я так ручками маленько по фазил csrf и sql injection нашел на нем! Думаю школоте на таких сайтах самое оно тренить..</p>\n", | |
| "parent": 0 | |
| } | |
| ], | |
| "attachments": [ | |
| { | |
| "id": 26961, | |
| "url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2015/09/little_ddos_1.png", | |
| "slug": "little_ddos_1", | |
| "title": "little_ddos_1", | |
| "description": "", | |
| "caption": "", | |
| "parent": 26959, | |
| "mime_type": "image/png", | |
| "images": [] | |
| }, | |
| { | |
| "id": 26962, | |
| "url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2015/09/little_ddos_2.png", | |
| "slug": "little_ddos_2", | |
| "title": "little_ddos_2", | |
| "description": "", | |
| "caption": "", | |
| "parent": 26959, | |
| "mime_type": "image/png", | |
| "images": [] | |
| }, | |
| { | |
| "id": 26971, | |
| "url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2015/09/little_ddos_22.png", | |
| "slug": "little_ddos_22", | |
| "title": "little_ddos_22", | |
| "description": "", | |
| "caption": "", | |
| "parent": 26959, | |
| "mime_type": "image/png", | |
| "images": [] | |
| }, | |
| { | |
| "id": 26974, | |
| "url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/files/2015/09/little_ddos_11.png", | |
| "slug": "little_ddos_11", | |
| "title": "little_ddos_11", | |
| "description": "", | |
| "caption": "", | |
| "parent": 26959, | |
| "mime_type": "image/png", | |
| "images": [] | |
| } | |
| ], | |
| "comment_count": 1, | |
| "comment_status": "open", | |
| "custom_fields": { | |
| "securelist-show-toc": [ | |
| "" | |
| ], | |
| "twitterCardType": [ | |
| "summary" | |
| ], | |
| "cardImageWidth": [ | |
| "280" | |
| ], | |
| "cardImageHeight": [ | |
| "150" | |
| ], | |
| "ga_time": [ | |
| "1446535476" | |
| ], | |
| "ga_views": [ | |
| "1523" | |
| ], | |
| "ga_trend": [ | |
| "6.58111220796E-5" | |
| ], | |
| "kss_ga_trend": [ | |
| "6.45869663502E-5" | |
| ], | |
| "kss_ga_time": [ | |
| "1463446203" | |
| ], | |
| "kss_ga_views": [ | |
| "2144" | |
| ] | |
| } | |
| }, | |
| "previous_url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/blog/mneniya/26955/mozhno-li-pobedit-neizbezhnoe-zlo/", | |
| "next_url": "https://kasperskyhub.staging.wpengine.com/securelist-russia/analysis/obzor/27029/ya-est-hdroot-chast-1/" | |
| } |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment