«Мертвый журнал». Последние полторы недели самая популярная площадка Рунета — LiveJournal — подвергается массированным кибератакам. Самые серьезные из них были 30 марта и 4 апреля, хотя и в другие дни доступ к «Живому журналу» для многих пользователей был затруднен. За несколько часов вместо привычных 50 тыс. обращений ЖЖ получает более миллиона запросов от несуществующих пользователей. Они направлены с десятков тысяч компьютеров из Юго-Восточной Азии. Что это за угроза и кто заинтересован в атаке на мир блогов — разбирался The New Times
«Сегодня за деньги в интернете заткнуть рот можно кому угодно», — говорит полковник ФСБ в запасе Дмитрий Мельников. Вплоть до августа 2010 года Мельников занимал пост советника руководителя федерального агентства по информационным технологиям и утверждает, что спецслужбы не стоят за атакой на «Живой журнал»: «Одно могу сказать: спецслужбы кибератакой на ЖЖ не управляли точно. DDoS-атака — это слишком банально. Не наш уровень. Вот криптографически защищенный трафик — это серьезно. В свое время по поручению президента мы в учебном плане рушили компьютерные сети Центробанка. Это было творчески интересно, банкиры были в шоке, а DDoS — это для шпаны».
Однако факт остается фактом: который день подряд «Живой журнал» переживает самую масштабную атаку в своей истории, в политической подоплеке происходящего уже никто, кажется, не сомневается, и остается лишь один вопрос: кто конкретно осуществляет это виртуальное мародерство и по чьему заказу.
Мишень для атаки
DDoS-атаки не в первый раз используются в России как средство политической борьбы. Правда, обычно их жертвами становились серверы и сети государственных учреждений или правительственных организаций (так атаковали правительственные сайты Грузии и Эстонии, например, в дни осетинской войны и конфликта вокруг переноса Бронзового солдата в Таллине). Помнят пользователи ЖЖ и атаки на блоги отдельных оппозиционных активистов и независимых журналистов, эпидемия которых случилась в 2008–2009 годах. Но атаковать всю социальную сеть до сих пор никто не решался. Толчком к такому эксперименту вполне могли стать Фейсбук-революции на Ближнем Востоке и в Северной Африке, где именно через социальные сети манифестанты координировали свои действия и пробивали выстраиваемые режимами стены информационных блокад. В России Фейсбук остается пока местом для узкой интеллектуальной тусовки. Учатся спецслужбы бороться и с Твиттер-активистами, которые распространяли информацию о важном событии, используя единый хэштег. Теперь спецслужбы умеют забивать такие потоки бессмысленным спамом, обезоруживая Твиттер. «Живой журнал» оставался в этом плане наиболее раскрученной и популярной площадкой. Но до поры до времени опасности и он не представлял: в ЖЖ были свои объединения либералов, лоялистов, националистов, узко сегментированные и друг с другом почти не пересекающиеся. Однако опыт юриста Алексея Навального, объединившего под идеей борьбы с коррупцией представителей самых разных политических сил показал, что ЖЖ вполне способен сыграть роль того самого координатора и организатора, которую в свое время сыграла ленинская «Искра». Судя по попыткам уничтожить ЖЖ, власть имущие решили эту «искру» затушить превентивно, за год до выборов, и не дать ей разгореться в пламя.
По мнению представителей компании SUP, управляющей «Живым журналом», атаки были нацелены на манипулирование аудиторией сервиса и его уничтожение как дискуссионной площадки. Эксперт компании по созданию антивирусных программ «Лаборатория Касперского» Мария Гарнаева так описывает адресацию кибератаки на ЖЖ: «Анализ данных мониторинга показал, что первая DDoS-атака на ЖЖ была осуществлена еще 24 марта. Владельцы ботнета отдали команду на проведение атаки на адрес блога Алексея Навального: http://navalny.livejournal.com. 26 марта был атакован еще один ресурс известного борца с коррупцией: http://rospil.info». Представители LiveJournal факт кибератаки на сервис признали только 30 марта. Но уже 4 апреля боты получили внушительный список, включающий в себя ссылки на блоги многих популярных пользователей данного сервиса. «Атака началась 4 апреля около 14 часов по Москве, при этом в этот раз она проходила с нарастающей интенсивностью. В ее начале мы справлялись, и она вызывала в основном небольшие задержки в открытии страниц, но начиная где-то с 15.30 ее интенсивность стала приводить к более серьезным проблемам, — сообщил Илья Дронов, директор по развитию продуктов компании SUP. — Она была направлена исключительно на отказ канала и сетевого оборудования и представляла собой замусоривание последнего битыми TCP-соединениями. На этот раз атаке подвергся не только журнал Алексея Навального, но и первая пятерка блогов, по данным службы «Яндекс.Блоги». «Таким образом, можно смело утверждать, что атака была направлена непосредственно на сам сервис, без каких-либо персональных предпочтений со стороны атакующих, — резюмирует Дронов. — Кому-то очень хочется, чтобы ЖЖ перестал существовать как площадка».
Кто заказчик?
Алексей Навальный утверждает: «Я не сомневаюсь, что за атакой стоят подразделения кремлевской администрации, курирующие внутреннюю политику. Поняв, что все их стратегии по развитию «путинской линии» в интернете потерпели крах, несмотря на огромные денежные вложения, они решили бороться с самыми проблемными для них площадками более простым (и, как им кажется, эффективным) способом». С ним согласен блогер Антон Носик: «Если вспомнить историю неэкономических DDoSов в Рунете последнего пятилетия, то не потребуется дедуктивных навыков Шерлока Холмса, чтобы понять, на службе каких политических сил состоят отечественные кибергопники. Судите сами: эстонские сайты, грузинские сайты, блоги и сообщества НБП, серверы «Коммерсанта», Газеты.Ру, аккаунты cyxymu в Фейсбуке и Твиттере, ЖЖ Навального. Почему сегодня им понадобилось валить весь ЖЖ, думаю, тоже догадаться нетрудно. Увы, если я прав, то это была только репетиция». В качестве возможного исполнителя кибератаки Носик назвал движение «Наши», напомнив, что движение уже брало на себя ответственность за DDoS-атаки: в организации атаки на эстонские правительственные серверы публично признался в интервью Financial Times комиссар «Наших» Константин Голоскоков. О причастности «Наших» к атакам на серверы «Коммерсанта» и Газеты.Ru прямым текстом высказывались в открытой печати и тогдашний главред газеты Андрей Васильев, и нынешний ее гендиректор Демьян Кудрявцев.
Известный блогер Владимир Прибыловский тоже считает, что нынешние атаки на ЖЖ — это тестовые нападения, которые совершаются, чтобы отработать механизм отключения блогов на случай общественных волнений после выборов.
Роль спецслужб
Прокремлевские движения, заявлявшие о своей причастности к кибератакам на эстонские сайты, работают в полном контакте со спецслужбами России (см. The New Times № 12 от 4 апреля 2011). Так что вопрос о возможной роли специальных технических подразделений ФСБ и управления «К» МВД в произошедшем нападении на серверы ЖЖ все-таки остается открытым. Оппозиционный политик Владимир Рыжков отмечает: «Спецслужбы уже не раз демонстрировали, что они способны блокировать целые крупные разделы интернета. Пример, который мне врезался в память, — это события в Беслане в сентябре 2004 года, когда фактически ни в одном поисковике невозможно было найти ссылки на слово «Беслан» в течение трех дней. Сложилось впечатление, что те три дня, пока продолжались эти трагические события, Рунет жестко контролировался. Мне говорили о том, что уже много лет на Лубянке существует специальное подразделение по контролю над интернетом, которое способно решать любые задачи, в том числе блокирование сайтов, социальных сетей, взлом и чтение электронных сообщений. Мне кажется, что, учитывая огромную роль, которую сыграли социальные сети в Египте, Тунисе и Иране, сейчас практически все основные авторитарные страны мира предпринимают усилия по контролю над интернетом. Вполне возможно, что мы просто наблюдаем полевые учения с прицелом на декабрьские выборы в Госдуму и мартовские президентские выборы в России. Возможно, что на наших глазах отрабатываются технологии, когда в нужный момент будут заблокированы все основные социальные сети, чтобы пресечь распространение информации или самоорганизацию людей и организацию протестных акций».
Старший офицер подразделения защиты информации ФСБ Роман К., на условиях анонимности согласившийся прокомментировать для The New Times версию Рыжкова, отмечает: «Компьютерные атаки — не наш профиль. Тем более все, что делается в интернете одними профессионалами, может быть отслежено другими профессионалами. Поэтому мы предпочитаем не следить, а мониторить и помогать оперативным подразделениям, работающим непосредственно с подконтрольными им хакерами. Мы можем провести «разведку», выявить наиболее уязвимые элементы атакуемых ресурсов, «повысить квалификацию», но сами заниматься компьютерными атаками не будем никогда. Для этого в открытом доступе существует огромное количество программ, как бесплатных, так и коммерческих. Другое дело, если задачу обрушить интернет в условиях введения ЧП нам поставят официально, то эта задача для нас выполнима. Хотя и не полностью: спутниковая часть трафика, поддерживаемая серверами, не контролируемыми с территории России, для нас малодоступна».