DDoS атаки. Технологии. Тенденции. Реагирование и оформление доказательств

Одним из наиболее критичных по последствиям классов компьютерных атак являются «Распределенные атаки на отказ в обслуживании» (Distributed Denial of Service, DDoS), направленные на нарушение доступности информационных ресурсов. Если около двух лет назад специалисты по Интрнет-безопасности предсказывали вымирание данного типа атак, то 2009 и 2010 год показывает, что DDoS атаки попрежнему являются одними из самых опасных типов Интернет-атак, и технологии атак значительно впереди технологий защиты. В данной статье описываются тенденции развития бот-сетей как основного технического плацдарма для проведения DDoS атак, методы сохранения информации для расследования и методы расчета ущерба.

Чтобы учесть интересы различных категорий операторов персональных данных, были разработаны отраслевые рекомендации по выполнению требований 152-ФЗ и руководящих документов регуляторов.

Статистика по количеству зарегистрированных инцидентов показывает, что данные атаки в настоящее время используются наиболее часто и приносят значительный вред. Особенность реализации этих атак сильно затрудняет расследование обстоятельств их проведения и привлечение к ответственности лиц, к ним причастных. Следствием этого является массовое ощущение безнаказанности лицами, занимающихся противоправной деятельностью, увеличение количества DDoS атак и улучшение технологий их реализации.

В 2010 году основными сферами деятельности, подвергшимися распределенным телекоммуникационными атаками являлись банковские платежные системы, системы электронных платежей, телекоммуникационные компании, средства массовой информации и предприятия электронной коммерции. Потери только московских компаний от преступлений в компьютерной сфере составили 5 миллионов долларов.

Особенность реализации маршрутизации телекоммуникационных компаний, представляющих услуги доступа в Интернет и передачи трафика, позволяет парализовать работу сети Интернет и других телекоммуникационных сетей при проведении DDoS атак на основные узлы связи (например, корневые DNS сервера). Особенности банковских и электронных моментальных платежных систем таковы, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежной системы Российской Федерации, нанести ущерб интересам собственников и клиентов. В случаях наступления инцидентов ИБ значительно возрастают результирующий риск и возможность нанесения ущерба кредитным организациям, поэтому для банков, систем электронных платежей и телекоммуникационных компаний угрозы проведения DDoS атак представляют реальную опасность.

Атаки и расследования

Расследование обстоятельств инцидентов — одна из важнейших процедур управления информационной безопасностью. На данный момент основной акцент делается на предотвращения распределенных телекоммуникационных атак. Ни в прессе, ни в научных исследованиях и работах не уделяется должного внимания расследованию обстоятельств их проведения. Однако только расследование обстоятельств инцидента способно показать, как именно он произошел, какие конструкторские, технологические и организационные работы необходимо провести в информационной системе для будущего предотвращения атаки, а главное — привлечь лиц, причастных к этому инциденту, к юридической ответственности. Важно сохранять все данные о распределенных атаках на отказ в обслуживании, так как статистика подобных инцидентов помогает осознавать их количество, характер, изменение во времени и тенденции.

Важно отметить, что на данный момент завершено только 4 судебных процесса против исполнителя распределенных атак на отказ в обслуживании.

Стоимость незаконной услуги по реализации подобных атак крайне мала по сравнению, например, со стоимостью средств защиты. Подобная экономико-правовая ситуация создает у злоумышленников чувство безнаказанности и увеличивает показатели незаконной деятельности. Поэтому проведение расследования в правовом поле позволит повысить эффективность оперативнорозыскных действий правоохранительных органов и служб безопасности и, в конечном счете, снизить количество подобных преступлений.

Дело в том, что, как и любой нелегальный бизнес, DDoS атаки и деятельность, связанная с бот-сетями (сетями из зараженных машин), приносит немалую прибыль. Для того, чтобы бороться с проблемой комплексно, важно понять, какие способы монетизации используют хакеры.

Что такое бот-сети

Для непосредственного проведения DDoS атаки используются сети, состоящие из компьютеров, предварительно зараженных специальным ПО и подключенных к Интернет (бот-сети, см. врезы).

С точки зрения злоумышленника процесс создания бот-сети состоит в следующем:

• Аренда сервера
• Покупка или создание скриптов и билдера (специальное ПО для создание ботнетов)
• Установка скриптов на сервер и их настройка
• Настройка DDoS вируса с помощью билдера
• Покупка трафика (направление легитимных пользователей на зараженные веб-страницы)

После этого злоумышленник может приступать к выполнению DDoS атаки.

После получения заказа обычно проводится тестирование бот-сети для того, чтобы заказчик убедился в ее работоспособности. После внесения заказчиком предоплаты (от 50 до 100 %) следует собственно выполнение работы и окончание расчетов.

Каждая из вышеописанных стадий является крайне важной при расследовании DDoS атаки правоохранительными органами.

Основными источниками дохода для владельцев бот-сетей являются:

• Рассылка спама
• DDoS атаки
• Подбор паролей для дальнейшего взлома какого-либо ИТ-сервиса (использование бот-сети в качестве распределенной вычислительной машины)
• Кража конфиденциальной информации: пароли, аккаунты платежных систем, банковские ключи
• Фишинг (использование ботов для сокрытия реального нахождения фишингового сайта)
• Использование «кликеров» (накрутчики посещаемости веб-ресурсов или платных объявлений)
• Установка рекламных модулей и блокираторов

Чаще всего для монетизации доходов от преступной деятельности в РФ используются известные системы моментальных электронных платежей, такие как WebMoney или Яндекс-деньги.

Основным способом перевода денег является безналичные переводы через системы электронных платежей — Egold и Libery. Далее деньги переводятся в WebMoney, откуда их можно снять наличными в банке или перевести на пластиковую карту. Выбор данных валют (Egold и Liberty) связан в основном с безопасностью участников сделки.

Сервера данных систем моментальных платежей находятся на Панаме, журналирование событий и установление цепочки транзакций выполнить очень сложно. Платежные системы постепенно запрещают обмен с данными валютами, но существует много способов обхода данных ограничений.

Зачем проводятся DDoS атаки? Если вы столкнулись с DDoS атакой, то важно осознать, что в данный момент кто-то зарабатывает на этом деньги. Для того, чтобы правильно среагировать на DDoS атаку и минимизировать все риски, нужно понять: «на чем именно сейчас зарабатывают деньги»?

Если DDoS атака идет на банк, в 95 % случаев это значит только одно: в данный момент у одного из клиентов банка через систему дистанционного банковского обслуживания украли деньги. В последние полгода с пугающей частотой пришлось сталкиваться с расследованием краж денежных средств у крупных юридических лиц через системы дистанционного банковского обслуживания (ДБО, Банк-клиент, Интернет банк и прочее).

Общая схема работы преступной группы такова. Специальный тип вредоносного ПО (вирусы) попадает на компьютер, с которого осуществляются платежи по системе ДБО. Вирус определяет используемую платежную систему. Затем вирус подгружает модуль для работы с конкретной платежной системы. Далее происходит кража ключевых элементов и данных для авторизации в системе. В случае использования безопасных хранилищ ключевых элементов вирус совершает кражу ключа из памяти в момент подписания платежного поручения. Осуществляется отправка платежного поручения на цепочку «фирм-помоек» и обналичка денежных средств. Одновременно на банк осуществляется DDoS атака для того, чтобы клиент банка не смог посмотреть транзакции по счету и увидеть мошенническую операцию.

Средний ущерб от данного типа преступления — 5 млн рублей. В своей практике мы видели инциденты, где были платежки на 25 млн рублей и более. Данные инциденты происходят ежедневно.

Для защиты от данного вида преступлений рекомендуется пересмотреть договора с банками на обслуживание по системам ДБО и включить туда ответственность банка за мониторинг подключений к счету, отслеживание крупных денежных переводов на новых контрагентов и т. п. (например, с других IP адресов/регионов).

В других сферах DDoS атака может быть вызвана продвижением конкурента в поисковых системах, запуском новой услуги на рынке, попыткой переманить пользователей на другой ресурс.

Если атака не связана с финансовым сектором, то можно проверить информацию в прессе и в блогах: может, кто-то написал о ней раньше времени? Также можно посмотреть, кто из конкурентов запустил новую услугу или начал активное продвижение на рынке. Это может помочь при расследовании. Но для профессионального расследования существуют методы компьютерной криминалистики. И я скажу честно, что любую атаку можно расследовать и найти исполнителя.

Однако в рамках уголовного процесса вернуть деньги будет крайне сложно, а минимальный срок расследования уголовного дела по DDoS — один год. Проще сделать это в рамках гражданского иска к хакеру.

Обладая необходимым комплектом документов (см. врез), необходимо подавать заявление в любое отделение милиции. Но чтобы ускорить прохождение документов между разными отделами, заявлять о компьютерном преступлении лучше всего в территориальное подразделение УСТМ МВД (управление специальных технический мероприятий). Адрес ближайшего подразделения можно узнать по телефону «02».

Задача российского бизнеса, для которого компьютерные преступления — это риск, — помнить, что это такие же преступления, как и обычная кража. Председатель Верховного Суда РФ Лебедев в своих комментариях к УК РФ четко дал понять, что DDoS атака — это компьютерное преступление по комбинации 272 и 273 статьи.

Поэтому, даже если вы видите, что расследование не даст вашей компании ничего, — все равно пишите заявление. Только так мы сможем получить реальную информационную безопасность и живое «право» в сети.

Занимаясь только защитой и забывая о правовой стороне вопроса, мы сводим работу информационной безопасности к бесконечной гонке вооружений с хакерами. И только когда в этой гонке появится слово «ответственность», тогда и можно будет говорить о настоящей безопасности.

За последние три года (2007-2009 год) в России наблюдались следующие тенденции развития бот-сетей:

1. Укрупнение. Малые бот-сети вливались в более крупные, происходило их объединение и наращивание количества зараженных машин для увеличения мощности бот-сети.
2. Децентрализация. Управляющие центры бот-сетей переносятся в страны, в которых борьба с преступлениями в сфере высоких технологий не ведется. В некоторых бот-сетях наблюдается несколько управляющих центров.
3. Появление непрофессиональных бот-сетей. С помощью конструкторов или специальных программ можно создать бот-сеть. Для создания и управления такой сетью не требуются специальные знания. В сети Интернет в последнее время появилось множество публикаций, посвященных созданию подобных сетей и способам монетизации средств, полученных от их использования. Чаще всего в России созданием таких сетей занимаются школьники и студенты.
4. Появления партнерских бот-сетей («партнерки»). Подобные сети имеют пользовательский интерфейс, при помощи которого злоумышленник может оплатить пользование данной сетью и управлять ею.
   Т. е., не нужно искать исполнителя нелегальной услуги — достаточно зайти на сайт с удобным интерфейсом, указать ресурс, выбрать время и оплатить услугу: атака начнется по часам. Подобные сервисы обеспечивают хакерам хороший спрос на свои услуги в режиме 24/7.
5. Профессиональные бот-сети стали использовать передовые технологии для управления и обеспечения собственной анонимности.
6. Большая территориальная распределенность бот-сетей. Бот-сети в России имеют такое географическое распределение, которое позволяет осуществлять DDOS атаки на определенный ресурс ботами, которые территориально находятся в других (отличных от атакуемого ресурса) регионах РФ. Данный подход используется злоумышленниками для усложнения расследования и выявления обстоятельств инцидента.
7. Высокий доход и связь злоумышленников с криминальными структурами. Организация одной распределенной атаки на отказ в обслуживании приносит злоумышленникам прибыль в пределах от 1000$ до 50000$ в день. В среднем бот-сеть приносит своим создателям 1 000 000$ в год. Подобный размер нелегального дохода привлекает к тематике компьютерных преступлений настоящие криминальные группы.
8. Использование передовых разработок в области вредоносного ПО. На данный момент в первую очередь распространяется загружаемый модуль, который помогает определять, как «можно заработать» на данном зараженном компьютере. Если на компьютере пользователь работает с интернет-банкингом, то будет загружен модуль для кражи ключей, если есть почтовые эккаунты, то будет загружен модуль для кражи подобной информации, если компьютер не содержит ничего ценного, то он будет заниматься DDoS атаками и рассылать спам.

В России и СНГ борьба с бот-сетями осложнена по следующим причинам:

1. Отсутствие в России CERT’ов (Computer Emergency Response Team) в основных узлах связи, а также в крупных телекоммуникационных компаниях. Данные некоммерческие центры (которых в США, например, 53) отвечают за координацию действий между клиентами, провайдерами и другими участниками обмена информацией в сетях Интернет. В случае появления кибер-угрозы специалисты центров обмениваются информацией в режиме реального времени и минимизируют ущерб. Например, в ходе DDoS атаке они могут заблокировать IP адреса, принадлежащие активному ботнету, таким образом прекратив атаку. Самое главное, что CERTы транснациональны — то есть нет бюрократических задержек и сложностей при обмене информацией между разными странами. В России на данный момент только один CERT.
2. Слабое техническое оснащение правоохранительных органов и малочисленность их штата. Отсутствие оперативных координационных связей между различными подразделениями ФСБ и МВД по борьбе с компьютерными преступлениями.
3. Отсутствуют международные соглашения и законодательства по борьбе с подобными явлениями. Отсутствует должное количество судебной практики. Отсутствуют международные методики по расследованию обстоятельств распределенных телекоммуникационных атак. Киберпреступность не имеет своего государства: создатель вируса может жить в России, управляющий атакой — в США, а заказчик — в Англии. Но, к сожалению, у каждого государства свои законы в области компьютерной преступности. Это делает расследование некоторых типов преступлений практически невозможным. До сих пор обмен некоторой информацией между правоохранительными органами разных стран идет на бумаге.
4. Методы противодействия бот-сетям быстро устаревают. Средний срок создания новой технологии нападения — полтора месяца. Со сверхприбыли от преступной деятельности проблема финансирования сверхсложных проектов для хакеров решается просто.
5. Техническая безграмотность населения и простота заражения персональных компьютеров вредоносным программным обеспечением. Стоимость заражения 1000 машин вирусами начинается от 20 долларов США.
6. Слабая информационная поддержка данной проблемы в прессе и СМИ.

Какую информацию и документы необходимо собирать во время и после атаки?

1. IP адреса атакующего ботнета. Необходимо указывать время атаки, IP адрес Вашего ресурса и IP адрес атакующего бота.
2. Фрагмент вредоносного сетевого трафика (дамп). Не нужно собирать большие по объёму файлы. Нужны уникальные фрагменты. Если тип трафика меняется, то делаем новый дамп.
3. Нотариально заверенную WEB-страницу в момент атаки с надписью «Ресурс заблокирован в результате DDoS атаки. Время. Дата». Честно сказать, это — юридическая уловка. Не все судьи принимают доказательства в виде логов и образца вредоносного кода. Данная уловка показывает суду, что в момент атаки ресурс был действительно заблокирован. Есть нотариусы, которые оперативно делают заверение веб-страниц. Поэтому, если Ваша система защиты не справляется, то сделайте простой скрипт, который будет высвечивать данную надпись и смело нотариально заверяйте страницу.
4. Перед атакой грамотный хакер чаще всего делает сканирование вашей сетевой инфраструктуры. Поэтому не стоит лениться. Можно поставить бесплатный сенсор системы обнаружения вторжения SNORT (www.snort.org). Журналы событий в этой системе — хорошее подкрепление доказательств DDoS атаки.
5. Технический специалист компании должен написать в момент атаки служебную записку на имя генерального директора. Данная записка фиксирует с точки зрения закона обнаружение атаки компанией.
6. Необходимо получить от Вашего Интернет-провайдера (ISP или хостера) письмо на фирменном бланке об обнаружении DDoS атаки. В этом случае хостер станет независимой стороной, как бы свидетелем атаки. В письме можно указать и некоторые технические характеристики атаки. В договор с ISP необходимо включить соглашение об уровне сервиса (SLA), в котором обязательно должны пункты об оповещении в случае атаки и требования к хранению доказательств (логов).
   К сожалению, очень немногие провайдеры выполняют данные обязанности.
   Ключевой информацией в заявлении в МВД является расчёт ущерба.

Расчёт ущерба может производиться следующим образом:

1. Ущерб от простоя (непроведенные операции). Если Вы банк, то по времени простоя определяется среднее количество операций. Это число умножается на стоимость одной операции. То же самое может сделать интернет–магазин и компания, занимающаяся электронной коммерцией. Судебной практики в этом направлении мало, поэтому нужно закладывать погрешность и считать по максимуму.
2. Оплата трафика. Если оплачивается входящий трафик на сервер, то во время DDoS атаки количественное значение трафика возрастает в разы. Соответственно, оплата трафика может войти в сумму ущерба. Чтобы подтвердить эту сумму, необходимо приложить к расчёту счет на оплату услуг ISP и детализацию трафика в момент DDoS атаки.
3. Фиктивные рекламные кампании (переходы по контекстной рекламе). Если в момент атаки были запущены кампании контекстной рекламы (когда вы платите за каждый переход на Ваш сайт), то фиктивные переходы (а стоимость некоторых кликов достигает 500 рублей) нужно заложить в расчёт ущерба.
4. Выпадение из поисковых систем. Если WEB-ресурс долго и упорно оптимизировался SEO-организацией для повышения его позиций в поисковых системах, то после DDoS атаки скорее всего его не будет на прежних позициях. Приложите к заявлению договор с SEO-компанией и их расценки за возвращение сайта на прежние места.
5. Репутационный ущерб. Естественно, что любая атака вызывает репутационный ущерб. Как его считать — непонятно. Но заложить его компенсацию необходимо.

Автор: Сачков Илья, CISM Генеральный директор Group-IB

Источник: Аналитический банковский журнал №9 (183) сентябрь 2010