Хакерская атака на акул Интернета

Как уже писало "Yтро", два дня назад фирма Keynote Systems, специализирующаяся на измерении скорости передачи данных в Интернете, обнаружила, что сайты Microsoft, Yahoo, Google и Apple, поддерживаемые системой Akamai, неожиданно перестали отвечать на запросы пользователей. Подобная картина наблюдалась в течение примерно двух часов. При этом индекс Keynote, характеризующий состояние Всемирной сети, упал до 81%, хотя обычно данный показатель не опускается ниже 99%. Akamai Technologies обслуживает 15 тыс. серверов в 60 странах мира. По заявлению представителей компании, в моменты пиковой загрузки ее инфраструктура обслуживает до 15% глобального интернет-трафика.

Специалистам Akamai удалось достаточно быстро справиться с проблемой, но каких-либо комментариев со ее стороны не последовало. Зато в Keynote Systems предположили, что на сеть Akamai или непосредственно серверы Microsoft, Yahoo, Google и Apple была совершена DoS-атака. Как теперь выясняется, данное предположение полностью соответствует действительности. Нападение было организовано на сеть Akamai с целью вывода из строя строго определенных онлайновых ресурсов. При этом система Akamai, поддерживающая DNS, продолжала работать, хотя и с заметными задержками. Именно поэтому многие пользователи во вторник Yтром не могли пробиться на вышеперечисленные ресурсы.

В своем пресс-релизе Akamai также уточняет масштабы атаки. По мнению сотрудников компании, данные, приведенные Keynote, сильно завышены и не соответствуют действительности. В частности, пострадали лишь около 4% клиентов фирмы, а вовсе не 20%, как утверждали в Keynote Systems. Более того, лишь 2% заказчиков заметили неполадки, и сайты только 1% клиентов Akamai действительно не реагировали на запросы пользователей Интернета.

Также утверждается, что в атаке применялась bot net - крупная сеть зомбированных домашних ПК. Поток данных был "столь мощным, что он не мог исходить от пары серверов, - говорит главный специалист и соучредитель Akamai Том Лейтон. - Нам вместе с нашими партнерами удалось выявить бот-сеть и заблокировать ее, что привело к прекращению атаки".

Бот-сети представляют собой множество компьютеров, взломанных при помощи специального ПО. Bot, или программа троянского коня с дистанционным доступом (remote-access Trojan horse, RAT), находит и обживает уязвимые персональные компьютеры. Затем он втихомолку функционирует в фоновом режиме, позволяя атакующему посылать в систему команды, пока ничего не подозревающий пользователь продолжает работать. По существу, эти машины превращаются в зомби, управляемые на расстоянии.

Последние версии бот-ПО позволяют атакующим управлять компьютерами-жертвами и выводить из них информацию через чат-серверы и файлообменные сети. Затем таким ПК можно подать команду на заражение или блокирование других компьютеров. Эксперты считают бот-сети смертельной опасностью для Интернета. Обычно зомбированные машины используют для отправки внешне легитимных сообщений по одному и тому же адресу, что приводит к наводнению данными и перегрузке целевых серверов. Такая распределенная атака на отказ в обслуживании, или DDoS, может заблокировать доступ к веб-сайту на несколько часов или даже дней.

Участвовавший в расследовании специалист, попросивший не называть его имени, подтвердил, что данная атака DDoS, вероятно, исходит от чрезвычайно крупной бот-сети. "Если это бот, то он очень хорошо написан и сеть очень большая, - сказал он. - Насколько мы можем судить, все выглядит как реальный и легитимный трафик".

Хотя атака была нацелена на вывод из строя четырех крупных веб-сайтов, Лейтон из Akamai утверждает, что мишенью была его компания. "В целом очевидно, что эта атака направлена на некоторых наших заказчиков. Мы полагаем, что таким способом они атаковали Akamai".

Пока не ясно, как атаку DDoS удалось сделать настолько избирательной, чтобы она сосредоточилась на главных сайтах: Yahoo, Google, Microsoft и Apple. Обычно распределенные атаки служат не скальпелем, а тупым орудием, как это было при использовании данного метода для массовых поражений в 2000 году.

Keynote Systems и другие компании, измеряющие параметры Сети, говорят, что на самом деле общий трафик во время атаки даже снизился, что ставит под сомнение сообщения о гигантском объеме данных, обрушившихся на серверы Akamai. Обычно крупномасштабные атаки DDoS приводят к увеличению сетевого трафика. Вполне возможно, что хакеры являются лишь ширмой, чтобы прикрыть технические проблемы, возникшие у компании. Похожая ситуация возникла у Akamai в мае текущего года, тогда она сослалась на некорректное функционирование ПО. Однако, как стало известно CNews.ru, в течение последних дней нападению подверглись и некоторые крупные российские серверы. Так, несколько дней назад была совершена распределенная DDOS-атака типа flood на часть серверов Hotbox. Спустя несколько часов провайдерам Hotbox удалось отфильтровать часть трафика, что снизило загрузку канала до приемлемых величин.

Akamai отказалась сообщить другие подробности о последних атаках, сославшись на необходимость сохранять в тайне архитектуру сети компании и не делать дополнительной рекламы злоумышленникам. "Это был необычайно высокий трафик", - повторил Лейтон.

Однако на одном из уважаемых и известных российских форумов по безопасности появилось сообщение, намекающее, что сбой в работе серверов Akamai был вызван русскими хакерами, которые хотели продемонстрировать свою способность вывести из строя сайт www.microsoft.com. Один из посетителей форума под псевдонимом DoZ похвалялся, что таким образом хотел "вытянуть из детища Билла Гэйта $80 тысяч". То, что за подобные выходки его обязательно поймают, хакер подвергает сомнению. Другие посетители форума отнеслись к этому заявлению весьма скептически, подняв почти риторический вопрос: каким образом любой желающий может блокировать сайт Microsoft, не используя для этого миллионы взломанных компьютеров, и затем избежать поимки?