Хакер, атаковавший «1+1 media», УНИАН и Antivirus.ua, вышел с нами на связь

атака antivirus.ua

В атаке принимал участие большой ботнет. Только на протяжении 6 часов в атаке участвовало более 5 тысяч компьютеров по всему миру, которые производили множество запросов на сайт. В запросах присутствовала подстрока «anonymous_UA». Мы пытались выяснить причину атаки, но так и не пришли к определенному выводу. Под знаменем «anonymous_UA» мог скрывать кто угодно, а данных по атаке было недостаточно для выяснения причин.

antivirus_ddos_1_0.jpg

Через десять дней нам пришло письмо от человека, который представился тем самым хакером, атаковавшим наш ресурс (и не только наш, как оказалось). По адресу, который можно найти на нашем сайте – contacts@antivirus.ua, мы получили письмо такого содержания:

Я ддосил ваш сайт 2 недели назад. Сделал запрос на поиск – anonymous_UA и на 80-й порт удп флуд.

Отныне и навсегда сайт – anonymousua.com тут вся инфа.

Ваш ддос был связан с корупцией в системе киевского отдела кибер преступности. об этом будет немного позже сказанно.

также из-за этого набу и антикибер легли. Просто об этом не заявляли.

Проект связан сейчас с противодействия фашизму. Потдержке русского населения.

Как вы поняли на себе мы обладаем неплохими ресурсами.

Извените за ддос. Я думаю что вы нормальные и порядочные люди. Спасибо!

Мы решили проверить информацию. Как оказалось, сайты НАБУ (Независимая ассоциация банков Украины) и anticyber.com.ua (проект «Противодействие киберпреступности») действительно подверглись масштабной атаке. Связавшись с представителями данных проектов, мы узнали некоторые подробности атаки на их сайты.

8 февраля примерно в 12:00 началась DDoS атака на сайт НАБУ (HTTP флуд, на адрес www.nabu.com.ua). В 13:00 сайт атаковали одновременно 1000 IP. Количество компьютеров, посылающих запросы непрерывно росла. К 22:00 атака велась примерно с 6000 IP с создаваемым трафиком в 20 Мбит/сек и постоянно меняющимися типами и целями запросов. После 22:00 атакующие сменили тактику, появились комбинации запросов GET и POST на разные URL.

В общем, «умная» атака с привлечением разных «хитростей» продолжалась до 13 февраля. И в этот же день, около 16:00, произошло «нападение» на Antivirus.uа. Скорее всего, в этот день атакующие перенаправили мощности своих ботнетов на наш сайт.

Специалисты из НАБУ отметили, что подобная атака (которая была осуществлена на их сайты) стоит десятки тысяч долларов. И вот атакующий выходит с нами на связь и пытается объяснить цели своей атаки. Для чего? Логичным был бы ответ: чтобы мы о нем написали. Но так ли это на самом деле, мы до сих точно ответить не можем.

Приведем краткую историю общения с «нашим хакером», пожелавшим назваться Sebastian Pereyro («торговец черным деревом» из кинофильма «Пятнадцатилетний капитан»).

В одном из первых писем (25 февраля) он рассказал нам, что выступает против «Майдана» и фашизма. Но не против нас:

Просвещайте и освещайте кибер преступность. Учите людей как бороться. Ваше дело. Вы делаете все правильно и сайт у вас правильный. С уважением.

Немного удивляясь откровенным письмам анонима, мы все же решили поддержать контакт с ним. Из его слов, нам так и не удалось понять, почему были атакованы и мы, несмотря на то, что он «не против нас» и сайт у нас «правильный».

Ясно было одно: хакер хотел показать нам, что в его силах, для того, чтобы мы писали о его деятельности, целях, а, может, и о нем самом.

По словам вышедшего с нами на связь человека, подтолкнуло его атаковать наши ресурсы (Antivirus.uа и сайты НАБУ) то, что

кибер милиция г. Киева, сделала очень много плохих вещей.

Автор писем попытался заинтриговать нас, сказав, что пока не хочет раскрывать все карты, так как это останется незамеченным в связи с событиями в Украине. Намекнул только, что его атаки связаны с

некоторыми прецендентами весной прошлого года в одессе, когда группу взяли

А подробности обещал написать тогда, когда в Украине «успокоится все».

Также объяснил, что он или они («Я,мы», – писал хакер) не представляют «anonymous ukraine». Из писем можно было понять, что посредством хакерских атак Sebastian Pereyro пытается бороться с фашизмом, национализмом и с тем, что в Украине «разводят народ». Говорил о проплаченных идеях «Майдана» и сравнил последний с большим ботнетом:

Сказал ботам – в атаку, они пошли

Кроме того, хактивист (если его можно так назвать) выступает за присоединение восточных и южных регионов страны к России. Он считает, что в интернете сейчас происходит информационная война против русского населения и всего русского, что ему явно не нравится. Одно из последних писем он завершил словами «Слава России!»

Тем не менее, он предупредил нас с самого начала, что не поддерживает ни предыдущую, ни нынешнюю власть:

Хочется справедливости и правды

Мы призываем народ, чтобы он смотрел на все происходящее своими глазами, а не лживыми СМИ! Врагу выгодно стравливать нас друг на друга (Россию и Украину), хоть мы и братский народ, а делается это путем одурманивания. Поэтому, мы будем бороться за правду и справедливость!

Как оказалось в ходе дальнейшего общения, хакер из Украины, выступает «сам от себя» и его атаки будут продолжаться. Критерием при выборе сайтов для атак назвал «лживые, продажные, прозападные СМИ».

Кроме того, хакер поделился и техническими возможностями атакующих. Оказалось, что «они» имеют все необходимое, чтобы создавать мощности 100 Гбит/с и более. Ботнет назвал «G-bot 2.2». И приложил скриншот административной панели управления ботнетом.

ddos_state1.jpg

В том, что атаки на сайты, о которых писал нам хакер, происходили и продолжаются, сомнений нет. Но атакует ли эти ресурсы именно наш собеседник, пока достаточных доказательств мы не имеем.

25 февраля он написал нам, что атаковал такие сайты: una-unso.in.ua, snaua.info, banderivets.org.ua, tiahnybok.info, qtmm.org. На тот момент названные ресурсы действительно не работали.

3 марта мы получили новое письмо:

Здравствуйте.

Еще добавьте 5-й канал самый прозападный.

и blacksea.tv (В Крыму отключили оппозиционный телеканал) - http://lenta.ru/news/2014/03/03/crimea2/

Мы его в интернете вырубили еще

Так как 3 марта подвергались атакам и все информационный сайты «1+1 media», а также информационное агентство «УНИАН», мы решили узнать у хактивиста, не имеет ли он отношение к этому. Как оказалось, это он атаковал сайты 5.ua, unian.net, uagolos.com, tsn.ua, blacksea.tv.

При уточнении вопроса об атаках на «1+1 media», мы узнали, что «положить» все сайты компании не было целью злоумышленника, атаковать он хотел только «tsn.ua»:

Правдо если 1+1 и униан на одном серваке висят то да. Вроде одна контора. еще вот эти - uagolos.com - туфту гонят по полной. ) На мой взгляд самый нормальный портал - segodnya.ua ukrpravda.ua

Вчера хакер «завел» страничку в «Твиттере», и предложил нашей редакции добавить его в друзья. На этой странице он обещает рассказывать обо всех своих атаках.

На этом наша переписка с хакером на некоторое время остановилась. Из тех небольших данных, которые мы имеем в виде технических характеристик мощностей атак, а также в виде писем человека, назвавшегося атакующим хакером, на данный момент мы можем сделать противоречивый вывод. С одной стороны, общительный и в какой-то мере наивный хакер кажется нам очень молодым человеком, который желает не только «пробовать силы», но и получить немного славы. С другой стороны, мощность атак доказывает неплохую материальную поддержку или серьезные знания грамотного айтишника. Также мы не знаем, случайно или намеренно автор писем не старается формулировать и оформлять мысли и требования грамотно.

Кто стоит за всем этим – один искренний борец за свои идеи или целое сообщество единомышленников (а, может быть, и определенная политическая сила), практикующийся школьник или опытный заказной хакер – пока это остается загадкой. Возможно, таким странным образом, грубо нарушая работоспособность сайта и закон, нам попытались рассказать «свою правду» и найти в нас поддержку, а, возможно, кто-то играет в свою игру и пытается ввести нас в заблуждение.

Мы не хотели бы делать поспешных выводов, раскрывать все карты и давать определенную оценку действиям человека, назвавшего себя атакующим наш и другие украинские ресурсы. Но это только пока, а продолжение истории следует. Следите за нашими новостями.

Еще интересное

Минские и Пражские мошенники на протяжении 2005-2009 годов, обворовывали виртуальные магазины, которые находились в США, странах Европы и других государствах.
Если ваш телефон всегда подключен к мобильному интернету, и при этом, у вас есть аккаунт в Google, помните: «Большой брат следит за вами».
Описанная в заявке Apple система предусматривает, что книги, музыку и кино можно не только перепродавать, но и дарить или давать напрокат.
Компания BitTorrent Inc., разработчик одноименного протокола для обмена файлами, в своем блоге анонсировала сервис для обмена мгновенными сообщениями BitTorrent Chat.
«Умные» электрические счётчики (smart meters) сегодня повсеместно устанавливают в электрических сетях. Это удивительно, но перехват и анализ
Половина зараженных вирусом компьютеров находится в Японии, а остальные — в странах Европы и Азии. Часть устройств могла быть заражена из-за границы, и поэтому японская полиция обратилась к Интерполу за помощью в проведении расследования.