Ataki DDoS II poł. 2011

Przeczytaj także: Zagrożenia internetowe III kw. 2011

Ataki DDoS a małe przedsiębiorstwa

W drugiej połowie 2011 r. miały miejsce dwie wielkie fale ataków DDoS na strony biur podróży. Pierwsza z nich nastąpiła w okresie letnich wakacji, gdy wielu użytkowników aktywnie poszukuje ofert wypoczynku nad morzem. (Również w tym czasie cyberprzestępcy zlecili ataki DDoS na strony oferujące sprzedaż lub wynajem apartamentów w ośrodkach wypoczynkowych zlokalizowanych przy plaży).

Druga fala ataków przypadła na okres Świąt Bożego Narodzenia oraz Nowego Roku. Tym razem większość zaatakowanych stron oferowała świąteczny wypoczynek.

Wśród ofiar nie znalazł się żaden duży touroperator. Celem wszystkich tych ataków DDoS były agencje turystyczne. Warto zauważyć, że na rynku działa znacznie więcej agencji niż operatorów, a zatem konkurencja między tymi pierwszymi jest znacznie bardziej zacięta.

Liczba ataków na strony agencji turystycznych była pięciokrotnie wyższa w sezonie niż poza nim. Można powiedzieć, że strony zaatakowane podczas letniej i zimowej fali padły ofiarą tzw. „uderzeń kontraktowych” stosowanych w ramach cyberwojny między agencjami turystycznymi. To oznacza, że konkurencja w branży turystycznej jest tak ostra, że niektórzy gracze zrobią wszystko, aby zdobyć klientów.

Warto wspomnieć, że w drugiej połowie roku nastąpił gwałtowny wzrost liczby ataków na strony oferujące rezerwację taksówek lub usługi napełniania kartridżów do drukarek. Usługi te były również reklamowane przy pomocy wysyłek masowych. Wygląda na to, że firmy zamawiające takie wysyłki masowe mają powiązania z właścicielami botów i to właśnie one prawdopodobnie zamawiają ataki DDoS skierowane przeciwko stronom swojej konferencji.

Zbrodnia i kara

W październiku miał miejsce ciąg dalszy historii ataków DDoS przeprowadzonych na serwis płatniczy ASSIST. Paweł Wrublewski, właściciel ChronoPay oraz główny podejrzany o przeprowadzenie tych ataków, przyznał się do ich zorganizowania. Czytelnicy być może pamiętają, że ataki te zakłóciły sprzedaż biletów online Aeroflot, największych rosyjskich linii lotniczych.

Wygląda na to, że właściciel ChronoPay chciał zdyskredytować konkurencyjne serwisy i poprzez ataki DDoS zrazić do ASSIST solidnych klientów, takich jak Aeroflot, a tym samym zwiększyć i tak już duży udział swojej firmy (40%) w rynku obsługi płatności. Atak rozpoczął się 16 lipca 2010 r.; zaledwie tydzień po zamknięciu Aeroflot zdołał przywrócić sprzedaż biletów online. Jednak działania podjęte przez ASSIST nie uchroniły tej firmy przed utratą ważnego klienta – Aeroflot ostatecznie zawarł umowę z Alfa Bank.

Pawłowi Wrublewskiemu postawiono zarzuty z artykułu 272 i 273 Rosyjskiego Kodeksu Kryminalnego i grozi mu do siedmiu lat pozbawienia wolności.

Orany ścigania zajęły się również niektórymi członkami grupy Anonymous. Haktywiści zostali aresztowani we Włoszech, w Turcji, Hiszpanii, Szwajcarii, Wielkiej Brytanii oraz Stanach Zjednoczonych. Wytropienie osób uczestniczących w atakach przy użyciu narzędzia LOIC (Low Orbit Ion Canon) o otwartym źródle okazało się proste. Narzędzie to zostało rozwinięte, bez szkodliwych intencji, w celu stworzenia obciążenia testowego na serwer sieciowy. Dlatego nie zawiera żadnych funkcji ukrywania adresów, z których pochodzą ataki, co oznacza, że można przeglądać logi oraz skontaktować się z właściwymi dostawcami usług internetowych. W innych przypadkach, wytropienie haktywistów może wcale nie być takie proste. Naiwnością byłoby jednak spodziewać się, że sprawcy mogą uniknąć kary za ataki DDoS i włamania, których celem padły strony rządowe. Warto wspomnieć, że średni wiek aresztowanych wynosi 20 lat.

Skuteczna walka z botnetami wymaga ścisłej współpracy między organami ścigania, producentami rozwiązań antywirusowych oraz twórcami oprogramowania.