Центр исследования компьютерной преступности

home контакты

Опыт борьбы российских органов предварительного расследования с DDos-атаками на серверы зарубежных компаний

Дата: 13.10.2007
Источник: www.crime-research.ru
Автор: Виталий Вехов


staff/Vehov.jpg Анализ международной следственной и судебной практики показывает, что в последнее время неуклонно возрастает количество преступлений, совершаемых с использованием сервисов глобальной компьютерной сети Интернет. Наиболее тяжкими из них, причиняющими особо крупный ущерб потерпевшим, являются так называемые «распределенные атаки «Отказ в обслуживании»» – Distributed Denial of Service или «DDoS-атаки».

Следует обратить внимание, что при их осуществлении преступники не ставят перед собой цель проникновения в защищенную компьютерную систему для неправомерного получения и последующего использования охраняемой законом компьютерной информации, их задача – парализовать работу web-узла потерпевшего в корыстных целях, например, вымогательства денежных средств, устранения конкурента и др.

DDoS-атаки являются относительно новым видом компьютерных преступлений. Их совершение стало возможным лишь на рубеже перехода человечества к информационному обществу (в конце XX начале XI века), ознаменовавшемуся повсеместным внедрением Интернет-технологий, глобализацией мировой экономики и развитием сетевых форм электронной коммерции.

Впервые о DDoS-атаках стали открыто говорить в средствах массовой информации, начиная с 1999 года, когда дистанционно были осуществлены вредоносные блокирующие воздействия на web-сервера таких крупнейших транснациональных корпораций как Amazon, Yahoo, CNN, eBay, E-Trade и ряд других, не менее известных.
С той поры прошло немало времени. Его было достаточно преступникам, чтобы модернизировать свой инструментарий, а также разработать новые способы совершения преступных посягательств рассматриваемой категории. Данный вид преступной деятельности еще только набирает свою силу, поэтому с большой долей уверенности можно прогнозировать увеличение количества DDoS-атак уже в ближайшие годы.
Вместе с тем, нельзя оставить без внимания и тот факт, что российским органам предварительного расследования удалось накопить положительный опыт взаимодействия с правоохранительными органами зарубежных государств и разработать методические рекомендации по совершенствованию практики раскрытия и расследования преступлений выделенного вида. Проиллюстрируем отдельные их положения на следующем примере.

В июне 2004 года в МВД России поступили официальное заявление от Чрезвычайного и Полномочного Посла Соединенного Королевства Великобритании и Северной Ирландии в Российской Федерации, а также международный запрос по линии Интерпола от начальника Национального Управления по Борьбе с Преступлениями в Сфере Высоких Технологий Великобритании о деятельности организованной преступной группы российских хакеров, длительное время осуществлявших вымогательства денежных средств в особо крупных размерах у британских транснациональных букмекерских компаний и казино путем блокирования работы их web-серверов с помощью DDoS-атак.

Эти документы послужили основанием для возбуждения уголовного дела по признакам преступлений, предусмотренных пунктами «а» и «б» части 3 статьи 163 и части 2 статьи 273 УК РФ, т.е. вымогательство, совершенное организованной преступной группой в целях получения имущества в особо крупном размере, а также создание, использование и распространение вредоносных программ для ЭВМ, повлекшие тяжкие последствия.

Следствием установлено, что М., П. и С., а также лица, уголовное дело в отношении которых было выделено в отдельное производство, с октября 2003 года по июнь 2004 года посредством сервисов глобальной информационно-телекоммуникационной сети Интернет вступили в преступный сговор, направленный на вымогательство денежных средств в особо крупных размерах у иностранных компаний, осуществляющих свою коммерческую деятельность на основе сетевых систем электронного документооборота. С этой целью они объединились в организованную преступную группу.

Для реализации своего преступного умысла они решили использовать имевшиеся в их распоряжении компьютерные сети зараженных компьютеров, на которые в тайне от их владельцев были установлены разработанные специально для этих целей вредоносные программы, реализующие распределенные атаки с разных компьютеров без ведома их пользователей, что приводит к отказу в обслуживании атакуемого сервера стандартными программно- техническими средствами информационно-телекоммуникационной сети связи Интернет. Данные вредоносные программы для ЭВМ были предназначены для реализации одновременных распределенных атак с разных компьютеров без ведома их пользователей посредством автоматической отсылки в адрес сервера потерпевшего многочисленных запросов, что приводит к отказу в обслуживании, если информационные ресурсы атакуемого сервера недостаточны для обработки всех поступающих запросов одновременно за единицу времени.

Участники организованной преступной группы распределили свои роли следующим образом. П. должен был предоставлять в необходимое время принадлежащую ему сеть компьютеров, зараженных вредоносными программами, для осуществления DDoS–атак на удаленные серверы. Он должен был привлечь в преступную группу других лиц, имеющих познание в создании и сетевом распространении вредоносных программ для ЭВМ. В обязанности М. входили доработка специальных вредоносных программ, предназначенных для организации распределенного отказа в обслуживании удалённых серверов, посредством встраивания в них специального программного модуля, отвечающего за саморазмножение программы через выявленные ими уязвимости в операционной системе Windows, для получения без ведома пользователей контроля над удаленными компьютерами.

Кроме того, М. должен был вести наблюдение за атакой в моменты ее активного воздействия на удаленные серверы, техническую поддержку ее полноценного функционирования и устранение возможных сбоев и неполадок атаки. С., согласно отведенной ему в организованной преступной группе роли, должен был заниматься мониторингом при подготовке и проведении атак на удалённые серверы, а также изучением всех появляющихся в международной криминальной практике новых вредоносных программ для последующего их использования для совершения указанных преступлений членами его преступной группы.

В целях сокрытия преступной деятельности и уклонения от уголовной ответственности, преступники всегда использовали различные средства маскировки своих фактических данных. При общении между собой они пользовались лишь сетевыми псевдонимами. Для маскировки или изменения своего фактического IP-адреса они пользовались различными анонимными прокси-(proxy)-серверами, VPN-сервисами и различными анонимными почтовыми серверами («анонимайзерами»). Также они использовали вымышленные имена для регистрации электронных почтовых ящиков на почтовых серверах провайдеров услуг Интернет, находящихся в различных странах мира.

Участниками организованной преступной группы была тщательно разработана схема получения с потерпевших компаний вымогаемых денежных средств через имеющуюся сеть международных платёжных систем, таких как Western Union, Webmoney, а также с использованием российской системы международных переводов денежных средств Автобанк – Никойл. В целях сокрытия преступной деятельности преступники в своих электронных письмах требовали от потерпевших компаний переводить деньги на заранее оговоренные имена жителей Республики Латвия, которые занимались обналичиванием и дальнейшим переводом денежных средств уже на территорию России.
Например, в период с 9 час 25 октября 2003 года до 12 час 28 октября 2003 года, в дни проведения традиционных общественно-популярных соревнований – скачек «Кубок Бридерса», П. и другие участники организованной преступной группы, используя имеющиеся в их распоряжении сети компьютеров, зараженных специальными вредоносными программами, позволяющими удаленно их администрировать посредством IRC-канала, произвели DDoS – атаку на Интернет-сайт британской компании «К-Лтд», имеющей IP-адрес 195.ЧЧ.ХХ.КК и следующие Web – адреса: www.c.com, www.c.co.uk, www.c.com.au, деятельность которой полностью основывается на постоянном доступе к ресурсам глобальной компьютерной сети Интернет и приеме ставок от клиентов на результаты спортивных соревнований только лишь посредством сервисов сети Интернет.

Согласно распределению ролей между участниками организованной преступной группы, М. и С. осуществляли контроль и мониторинг за ходом и состоянием атаки, а также устраняли возникающие технические проблемы. Атака имела лавинообразный эффект поглощения трафика сервера атакуемой компании, при которой около 425 уникальных сетевых (IP) адресов создавали более 600 000 одновременных соединений с Web-сервером компании, посылая запросы на получение информации со скоростью более 70 мегабайт в секунду, в то время как в обычном режиме Web-сервер получает запросы на информацию со скоростью 2 мегабайта в секунду. В результате этого, Web-страница компании была отключена от сети Интернет. Во время атаки на электронные почтовые ящики компании «К-Лтд» [email protected], [email protected], [email protected], [email protected] преступники, с целью получение денег в особо крупном размере, направили электронные письма с требованиями передачи им денежных средств в сумме 40 тыс. долларов США, что составляет 1196624 руб. из расчёта 29,9156 руб. за 1 доллар США, угрожая в случае невыполнения их требований продолжением атаки до полного разорения компании.

Руководство компании, воспринимая полученные угрозы как реальные и действительно понеся крупные убытки от противоправной деятельности организованной преступной группы, приняло решение удовлетворить требования вымогателей. Получив согласие на выплату требуемой суммы, участники организованной преступной группы, не прекращая атаку, выслали в адрес компании список имен жителей Латвии, которым необходимо было перечислить денежные средства в сумме 40 тыс. долларов США. В период с 27 по 31 октября 2003...

Добавить комментарий
2008-02-23 05:17:24 - Правильная ссылка на вторую страницу -... Читатель
Всего 1 комментариев


Copyright © 2001–2018 Computer Crime Research Center

CCRC logo
Главным направлением в деятельности Центра является широкое информирование общественности об основных проблемах и способах их решения, с которыми сталкивается общество в сфере противодействия компьютерной преступности.