Сетевые войны. Хакеры против пиратов

- Реклама -

В последнее время в Рунете злоумышленники все чаще обращают свое внимание на крупные сайты. Буквально несколько недель назад под DDoS-атаками киберпреступников оказались банки ВТБ24 и «Альфа Банк». А на данный момент самый известный российский торрент-трекер Rutracker.org недоступен из-за мощной DDoS-атаки.

Первое сообщение о неполадках в работе сайта представители торент-трекера опубликовали в своем болге 31 марта 2014 года, ссылаясь на проблему с оборудованием. Однако чуть позже запись была отредактирована и было объявлено о начале DDoS-атаки на ресурс. 1 апреля текущего года работоспособность сайта была восстановлена. Мощность DDoS-атаки составила 30 Гб/c, основной удар был направлен на маршрутизаторы, именно поэтому сначала было объявлено о проблемах с оборудованием. Вечером того же дня сайт снова «лёг» под новой атакой киберпреступников. Отметим, что нарушена работоспособность только веб-оболочки: раздачи, добавленные в торрент-клиент, продолжают работать.

Предположительно DDoS-атаку производят злоумышленники, которые сами себя называют Pump Water. На данный момент не известно, сколько лиц в этой организации, вполне возможно, что это один человек, создавший крупную бот-сеть. Нельзя также и точно понять мотивы киберпреступников: в Twitter аккаунте злоумышленники оставляют сообщение, что хотят за прекращение DDoS-атаки $1000, однако для крупнейшего торрент-трекера страны это небольшая сумма, учитывая доходы, которые приносит реклама, размещенная на сайте. Возможно, что подобным поведением хакеры стараются получить популярность, чтобы потом осуществлять DDoS-атаки на заказ.

Отметим также, что киберпреступники рассылали подобные сообщения в Twitter и другим интернет-ресурсам. Так, угрозы о начале DDoS-атаки получили интернет-сообщество HabraHabr.ru, банк «Тинькофф Кредитные Системы», ресурс для фрилансеров FL.ru, а также ряд других сайтов. Однако ни один ресурс не «падал» под DDoS-атакой Pump Water, что позволяет сделать определенные выводы: либо угрозы хакеров не такие эффективные для остальных сайтов, либо они вообще не проводились, либо основная атака пришлась именно на Rutracker.org. Возможно это связано с тем, что представители ресурса вряд ли будут искать злоумышленника и обращаться в суд, так как пользователи сайта зачастую выкладывают в открытый доступ материал, защищенный авторским правом.

Напомним, что торрент-трекер подвергается DDoS-атакам не в первый раз. Так, в апреле прошлого года сайт был недоступен один день, однако сама атака хакеров длилась ещё три дня, но на работоспособность ресурса это не влияло, разве что иногда не с первого раза открывался форум. Уже в феврале в блоге появилась запись о том, что сайт подвергся самой мощной DDoS-атаке за всю историю существования трекера. Ресурс был недоступен почти два дня, а для устранения угрозы были привлечены специалисты из компании Highload Lab., которые при помощи решения защиты от DDoS-атак QRATOR смогли наладить работу Rutracker.org.

Как уже упоминалось выше, атака хакеров направлена на маршрутизаторы. Отметим, что данный вид DDoS-атак можно назвать новым мировым трендом киберпреступников. Недавно компания Nominum объявила о значительном росте DDoS-Amplification атак, использующих DNS. Данные атаки нацелены на уязвимые маршрутизаторы (в том числе и домашние), расположенные по всему миру. Подобные атаки создают трафик до 10 Гб/с и выводят из строя сети провайдеров связи, а также блокируют сайты и доступ в Интернет для физических лиц. В России подобные угрозы для провайдеров не были зарегистрированы, но обычные пользователи должны быть бдительны, так как в частном секторе прецеденты были.

«Вирусная лаборатория ESET обнаруживала вредоносные программы, которые специализируются на модификации DNS-сервисов роутеров. Но такая операция используется не только для DDoS, но и для перенаправления пользователя на поддельные установщики браузеров, которые представляют собой вредоносное ПО. Это происходит следующим образом. Злоумышленники автоматически сканируют вредоносной программой определенный диапазон адресов в интернете и обнаруживают роутер с панелью управления, которая доступна через интернет. Многие пользователи используют слабые пароли, поэтому злоумышленники могут довольно легко получить доступ к роутеру, — отметил Артем Баранов, ведущий вирусный аналитик ESET. — В России могут быть жертвы этого вредоносного кода, но нельзя утверждать, что его активность высока. Модифицировать параметры DNS можно в том случае, если панель управления роутера не защищена паролем либо пароль слишком слабый и вредоносная программа может его подобрать. Так что для защиты от подобных атак рекомендую установить надежный пароль на доступ к административной панели управления роутером».

Напомним, что у ресурса довольно натянутые отношения с российским законодательством. Так, в феврале 2010 года делегирование домена torrents.ru (на котором ранее размещался Rutracker.org) было приостановлено компанией «Ру-Центр». Основанием для этого действия послужило постановление следственного отдела прокуратуры по Чертановскому району от 16 февраля 2010 года. Позднее была названа официальная причина приостановления обслуживания домена: пользователь ресурса разместил раздачу с программой AutoCAD, принадлежащей компании Autodesk. Однако часть пользователей ресурса сразу заявила, что подобное обвинение сфабриковано и за закрытием трекера стоят какие-то другие проблемы. Дело в том, что политика ресурса направлена на корректное общение с представителями крупных компаний. На сайте также официально запрещены раздачи некоторых программ и операционных систем. Так и тема с AutoCAD в течении нескольких минут должна была попасть в раздел закрытых раздач, так что никто не смог бы её скачать.

Также 28 декабря 2013 года в Сети появилась информация о том, что Роскомнадзор заблокировал ресурс Rutracker.org, однако, уже на следующий день работоспособность сайта была восстановлена: ни администрация сайта, ни его пользователи не совершали никаких действий, которые дали бы возможность для блокировки ресурса. Дело в том, что вместе с Rutracker.org был заблокирован его сайт-близнец Rutracker.ru, на котором нелегально распространялись фильмы, которые только вышли в прокат. Один из IP-адресов Rutracker.ru принадлежал ресурсу Rutracker.org, именно поэтому сайт оказался недоступен для пользователей. На следующий день администрация Rutracker.ru поменяла свои IP-адреса, а Роскомнадзор исключил из реестра IP-адрес, принадлежащий Rutracker.org, тем самым восстановив работоспособность сайта.

Однако Rutracker.org не единственный торрент-трекер, которому «пришлось» переехать из-за блокировки домена. Так, в августе онлайн-кинотеатр «Турбофильм» сменил адрес на turbik.tv. Причиной блокировки предыдущего домена оказалось размещение в открытом доступе сериала «Компьютерщики». В этот же день был заблокирован другой крупный российский тооррент-трекер rutor.org. По официальной версии домен попал в реестр запрещенных сайтов за комментарий пользователя, в котором содержалась ссылка для скачивания запрещенного контента, однако, сам комментарий не разглашается. На сегодняшний день ресурс размещается по другому адресу.

Часть аналитиков сходится во мнении, что в России пора менять систему защиты авторских прав. На сегодняшний день борьба с p2p-сетями абсолютно неэффективна, так как ресурсы при блокировке могут просто сменить IP-адрес или «переехать» на другой домен. Да и количество торрент-трекеров в рунете намного больше, чем блокируется на данный момент. Сегодня нужно выработать новые подходы к защите авторских прав, либо воспитывать у пользователей Интернета привычку платить за контент. Технологически бороться с торрент-сетями невозможно: пока у пользователей есть спрос на бесплатную музыку, фильмы, игры или программное обеспечение, будут существовать ресурсы, позволяющие их скачивать и распространять.

- Реклама -