В конце мая литовский новостной портал DELFI и его хостинг-провайдер Hostex оказались под DDoS-атакой. По современным меркам, мощность этих атак была небольшой – несколько Гбит/с, но для Литвы это рекорд, и оказалось, что частный сектор и госструктуры страны не готовы к таким дополнительным нагрузкам.

22 мая редакция DELFI получила письмо с требованием удалить с сайта статью о попытке купить в Литве голоса в пользу российской исполнительницы «Евровидения». Авторы письма грозили «радикальными мерами», которые и применили, удостоверившись, что скандальный материал не снят. Новостной портал был выведен из строя на 3-4 часа, зарубежные читатели лишились доступа на 1,5 суток, однако сбои в работе веб-сервиса ощущались почти две недели.

DDoS‑атака на крупнейшую литовскую хостинг-компанию Hostex затронула и других ее клиентов – госведомства, зарубежные финансовые сервисы, новостной канал 15min.lt, веб-сайт Вильнюсского аэропорта. По оценкам экспертов, мощность паразитного трафика, атакующего DELFI, на пике составила 1,4 Гб/с, 15min.lt – 0,5 Гб/с, Hostex 6 Гбит. Было установлено, что для проведения кибератаки злоумышленники задействовали порядка 1 тыс. IP-адресов, прописанных 60 странах, в том числе в Западной Европе, России, Беларуси и Украине.

Чтобы справиться с дополнительной нагрузкой, жертвы DDoS блокировали весь зарубежный трафик. Hostex также применяла защитные фильтры и, являясь частью группы Тео (основной акционер – TeliaSonera), использовала ресурсы, спецоборудование и международные каналы этой телекоммуникационной компании. Вот как обобщил свои наблюдения в ходе DDoS Пранас Слушнис, гендиректор дата-центра Hostex: «Атака идет непрерывная, ведется волнами. Когда работает наше оборудование и атака менее сильная, никто этого не замечает… Постоянно меняют методы технологической атаки. Из-за этих изменений мы всегда должны заниматься переконфигурацией нашего технического оборудования, чтобы оно могло бороться с иным методом атаки».

По словам Слушниса, паразитный трафик был настолько чрезмерен, что, несмотря на применение спецоборудования, забил все существующие каналы связи. «Но это длилось недолго, — комментирует он, – мы блокировали часть адресов, по которым идет атака. Мы можем утверждать, что это рекордная атака, как по продолжительности – раньше мы не сталкивались с такими продолжительными атаками, второй момент – рекордные масштабы. Небольшие поставщики связи вообще не смогли бы фильтровать и защищаться от атак, с которыми мы столкнулись». «Надо обратить внимание на то, что каналы связей у банков и технические средства слабее наших», – добавил он.

Компании Тео, к которой Hostex обратилась за помощью, тоже пришлось несладко. «Наше оборудование работало на пределе, не столько в плане гигабитов, сколько из-за числа запросов, – констатирует Витаутас Бучинскас, директор отдела управления рисками Тео. – В один момент мы установили, что в течение нескольких минут число запросов достигло 50 миллионов». По данным Тео, 28 мая мощность атаки достигла 6 Гб/с. Компания была вынуждена ужесточить оборону – отказаться от метода «установить, кто нападает», и решать, «где и когда блокировать». Тем не менее, смена тактики не оправдала себя, отмечает Бучинскас. «Мы уже не успевали. Проходит час, два, останавливается сервис, поэтому мы перешли к защите, которая называется «блокируй все и впускай лишь знакомое». Однако некоторые другие клиенты, которые находятся на тех серверах, немного страдают, поскольку на них не могут зайти из России и других стран».

Глава ИТ-отдела DELFI Кристиёнас Шяулис заявил, что если бы масштабы атаки достигали 7-8 Гб/с, то проблемы с интернетом были бы во всей Литве. По мнению гендиректора Hostex, возможность выявить авторов таких DDoS-атак теоретически существует – при наличии подготовленных кадров, оборудования и соответствующих контактов с другими странами. Однако эта задача потребует больших усилий: атака ведется с зомби-машин, «хозяева которых чаще всего не знают, что компьютеры заражены». Литовским госведомствам пока не хватает ни опыта, ни квалификации для подобных расследований. Из стран, лучше прочих воюющих с инициаторами DDoS, Слушнис назвал Россию, Китай и США – «те страны, которые могут поймать организаторов таких атак, особенно если атаки проводятся из их стран».

Подводя итог кибератаке против DELFI, главный редактор веб-портала Моника Гарбачаускайте-Будрене отмечает: реакция государственных учреждений и политиков на этот инцидент раскрыла очевидный факт: к серьезным атакам Литва не готова. «Атака против DELFI стала будильником для всего государства, – утверждает она. –

Более ответственными должны быть и потребители. Они тоже могут внести свою лепту в кибернетическую безопасность простым способом – не смотреть сквозь пальцы на защиту своих компьютеров, не нажимать на подозрительные ссылки. Забота об антивирусной программе для персонального компьютера должна стать символом гражданственности».

Выступая на заседании парламентского Комитета по национальной безопасности и обороне (ПКНБО), представитель второго департамента оперативных служб Альгимантас Мелайкис заявил: «Мы оцениваем состояние кибернетической безопасности Литвы как неудовлетворительное». Председатель ПКНБО Артурас Паулаускас прокомментировал случай с DELFI более образно: он сравнил его с громом, разбудившим многие ведомства от летаргического сна.

Расследованием по факту DDoS занимаются киберполиция Литвы и национальная служба регулирования связи (СРС), принявшая посильное участие в нейтрализации атаки. Госрегулятор, как и представители частного сектора, уверен, что для обеспечения кибербезопасности нужны дополнительные инвестиции в технологии, равно как и люди для работы с ними. Насколько известно, СРС переходит на 24/7 режим работы и планирует расширить свой штат специалистов.

Согласно ч. 1 ст. 197 УК Литвы, умышленное причинение ущерба путем модификации компьютерного ПО, а также установки программ, нарушающих нормальную работу сетей, информационных систем или банковских сервисов, карается штрафом или лишением свободы до трех лет.

Категории: DoS-атаки