Согласно данным мониторинга, атака стартовала примерно в полночь по пекинскому времени 25.08.2013 и к 4 часам утра она достигла своего пика. На протяжении 5–6 часов многие китайские сайты оказались недоступны, так как пользовательские компьютеры не смогли получить данные о местоположении серверов по доменам. Мощность атаки значительно снизилась к 10 часам утра по местному времени»[35].
Приведенные примеры DDoS-атак — это то, что мы видим на поверхности информационного поля боя. На рисунке ниже представлен график частоты упоминания в новостях термина DDoS атака.
Почему мы начали описание специальных действий именно с DDoS-атак? В Интернете для любых ресурсов немало и других угроз. Сайт могут взломать, деньги с банковских счетов отправить по другому неизвестному хозяину направлению, вирусная атака поставит сайт на контроль, да еще не только сайт, но и пользователей, которые его посещают. Угроз в сети немало. Но есть угрозы, как бы, ручной работы, а есть угрозы — поставленные на промышленную основу. Жулик, потративший год, на проникновение к базам данных какого-либо банка с целью наживы, остается просто жуликом, а не участником информационной операции.
Информационная операция — это совокупность взаимосвязанных действий, производство которых поставлено на конвейер. Например, вирус Stuxnet — это оружие промышленного изготовления, на сегодняшний день имеющее уже десяток модификаций. DDoS-атаки — это такое же оружие. Но, как и любое оружие, DDoS-атаки бывают разные. Есть примитивное оружие, когда злоумышленник запускает у себя конкретную программу, которая в цикле осуществляет доступ по заданному IP-адресу и блокирует его, забивая своими обращениями. Подобный злоумышленник ловится по собственному IP и блокируется, а его адрес попадает еще и в черный список адресов Интернета.
Есть более изощренный злоумышленник, который, осуществляя атаку со своего компьютера, проводит ее через анонимайзеры и соответствующие вебсервера. Большого количества адресов на долгое время таким образом тоже не собрать.
Здесь мы говорим о специально подготовленном механизме для DDoS-атак. Это ботсети. Классическим примером информационного оружия в технической сфере являются именно ботсети (ботнеты). Ботнет (англ. botnet, произошло от слов robot и network) — компьютерная сеть, состоящая из хостов и компьютеров пользователей с установленным на ней специальным программным обеспечением (бот), управление которым осуществляется с хостов.
Масштабы и возможности.
В октябре 2010 г. издание Вебпланета (http://webplanet.ru) сообщило, что голландская полиция захватила 30-миллионный ботнет. Только за один месяц скрытого наблюдения за его активностью сеть пополнилась тремя миллионами заражённых машин. Ботнет является частью сети Bredolab.
Bredolab — это крупное семейство троянских программ, проникающих на компьютеры пользователей через вредоносные приложения к почтовым сообщениям или заражённые сайты. Получив контроль над компьютером, Bredolab загружает на него другие вредоносные программы. Хорошо известно о связи Bredolab со спамерскими рассылками и лже-антивирусами. В ходе расследования были выявлены 143 контролирующих сервера. В ходе уничтожения ботнета контролирующие сервера были отключены от Сети. Пользователям зараженных компьютеров при очередном входе в систему автоматически были выданы сообщения с информацией о том, каким образом они могут очистить свои машины.
Структура ботнета.
Ботсеть включает в себя центр управления, из которого поступают команды, и множество зараженных компьютеров. Понятно, что если центр выявлен, то сеть ставится под контроль и либо используется противником, либо уничтожается.
Боты (зараженные компьютеры) получают из центра команды для выполнения. Команда состоит из перечня действий и времени выполнения, типа:
— зайти на сайт Z (время: от T1 до T2);
— послать письмо по адресу X (время: от T1 до T2);
— снимать информацию из папки P, с клавиатуры и т. п. и помещать в хранилище M (время: от T1 до T2);
— отправить собранные данные в хранилище М по адресу X (время: от T1 до T2);
— внедрить зараженный код Dk по заданным адресам {Xi} (время: от T1 до T2);
— получить данные D (например, Dk) по адресу Х и хранить в месте М (время: от T1 до T2);