Эксперты антивирусной компании "Лаборатория Касперского" недоумевают, почему представители блог-сервиса LiveJournal, дважды за последние несколько дней подвергшегося массированным DDoS-атакам, до сих пор не обратились в правоохранительные органы с заявлением по этому поводу.
Более того, в СМИ звучат заявления о том, что "такое уголовное дело не имеет перспективы". Между тем, пишет эксперт ЛК Мария Гарнаева, налицо все признаки преступления, классифицируемого по 273 статье УК РФ "Создание и распространение вредоносных программ".
У российских правоохранительных органов и судов, напоминает она, уже накоплен хороший опыт применения этой статьи.
Точно не известно, сколько ботнетов принимают участие в организации атаки, однако доподлинно известен по крайней мере один такой ботнет, пишет эксперт.
Ботнетом, напомним, называют сеть, состоящую из хостов с запущенными на них "ботами" (сокращение от слова "робот") - автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на компьютере жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов зараженного компьютера.
Их используют для разного рода нелегальной или нежелательной деятельности: рассылки спама, перебора паролей на удаленной системе, атак на отказ в обслуживании (DDoS) и т.п.
Ботнет, примененный злоумышленниками против ЖЖ, построен на основе DDoS-бота Darkness/Optima, весьма популярного в данный момент на черном рынке русскоязычной киберпреступности.
На продажу предлагаются не только троянские программы (боты), но и построенные на их основе сети зараженных машин, а также услуги по проведению DDoS-атак на указанный ресурс в интернете.
Один из таких Optima-ботнетов уже некоторое время находится под наблюдением специалистов из ЛК. По их данным, первая DDoS-атака на ЖЖ была осуществлена еще 24 марта. Владельцы ботнета отдали команду на проведение атаки на адрес блога Алексея Навального. 26 марта боты получили команду старта атаки на еще один ресурс борца с коррупцией - "РосПил", а 1 апреля атаке подвергся сайт rutoplivo.ru.
Представители LiveJournal впервые о DDoS-атаке заявили 30 марта. В этот день в ЛК зафиксировали атаку посредством ботнета Optima только на navalny.livejournal.com. А вот 4 апреля боты получили внушительный список, включающий в себя несколько десятков ссылок на блоги многих популярных пользователей данного сервиса.
В этом списке представлены блоги самых разных людей, пишущих о совершенно разных вещах и являющихся одними из самых популярных авторов, так называемыми "тысячниками". Было ли это попыткой размыть реальную цель атаки, которая явно была обозначена среди первых попыток DDoS, или список неугодных блогов стал шире - неизвестно.
Бот Optima на киберпреступном рынке Рунета появился в конце 2010 года, достаточно быстро набрав большую популярность. Функционал данного бота, по данным ЛК, помимо возможности осуществления DDoS-атак включает в себя также загрузку других исполняемых файлов и кражу паролей от многих популярных программ (FTP-клиентов, IM, почтовых клиентов, браузеров и др.).
Косвенные данные также свидетельствуют о том, что ботнет большой, объединяющий десятки тысяч инфицированных машин, и что его владельцы принимают (и получают) заказы на "загрузку" других вредоносных программ.
Если внимательно посмотреть на список целей данного ботнета, то из общего ряда выбивается атака на сайт kredo-m.ru, компании, занимающейся изделиями из дерева и мебелью. Этот факт дает возможность предположить, что владельцы ботнета действительно продают свои услуги по DDoS-атакам всем желающим и атаку могли заказать, как это часто бывает, конкуренты по бизнесу.
В период проведения DDoS-атак, описанных выше, боты Optima также получали команду на загрузку новых версий Trojan-Downloader.Win32.CodecPack - об этой интересной вредоносной программе эксперт обещает подробнее рассказать в отдельной аналитической статье-исследовании.