Отново хакерска атака срещу сайта на "24 часа"
На нова хакерска атака бе подложено онлайн изданието на "24 часа" днес следобед. Сайтът на "24 часа" бе атакуван многократно през изминалите две седмици.
Засега не е ясно дали атаката идва от групировката We are killnet, която атакува сайта и предишните няколко пъти. Тогава зад удара е бил руският гражданин Владимир Дмитриев, сочат данните на Националната следствена служба.
"24 часа" благодари за подкрепата на "Виваком" и айти специалистите на компанията, благодарение на чиито усилия вие отново можете да получавате качествена и проверена информация!
Специалистите на "Виваком" успяват да отбиват успешно едни от най-големите атаки срещу медия в историята на България.
Всъщност разследването на българските служби за хакерската атака започна след текст на “24 часа” в онлайн изданието ни. На 15 октомври в 12,05 ч бе публикувана дописката “Руски хакери атакуваха България, удариха само президента засега”. В нея описахме, че сайтът на президентството не работи, докато, макар и по-бавно страниците на правителствените служби функционират. В материала обяснихме и че от руската група We are killnet са поели отговорност. Приложихме и екранна снимка от телеграм канала им, в която бе описано кои са набелязаните за блокиране сайтове.
Именно този текст е бил основание за самосезиране на разследващите и образуване на досъдебно производство, казаха от Националната следствена служба, която води случая. Оттам са установили кой плаща интернета на командния център, от който милионите заразени устройства са насочвани към сайтовете на държавните институции. Оказало се, че той е в Магнитогорск.
Там бил центърът на координираната атака. Тя бе от типа Distributed Denail of Service - DDoS, или разпределителна атака за отказ от услугата. Тя идва от голям и трудно определим брой източници, които целят да претоварят сървъра на даден сайт с цел блокирането на самата страница.
Обикновено се използват програми, които правят над 200 заявки за достъп до съдържанието на даден сайт за една секунда. Така той не може да отговори и блокира - съдържанието му не се показва. По същия начин е станала и атаката в събота. Заявките в секунда са били над 10 млн.
В Магнитогорск са насочвали трафика към държавните сайтове. От събраната информация става ясно, че не само компютри, но и мобилни телефони, таблети и дори перални и телевизори, свързани с интернет, са подавали заявки. Те са идвали от устройства от цял свят, включително от България - няколко български перални също са помогнали за атаката, както и множество компютри и телефони.
Кибернападението срещу България е било по-ново. Хакерите избрали да се атакува мястото, на което са разположени сайтовете. Така едновременно са правени заявки към всички страници на правителствени институции. Затова и те издържаха, за разлика от сайта на президентството, който блокира почти веднага. Просто заявките към асоциираните с МС сайтове са били разпределени към повече страници, докато администрацията на президента поддържа две - на президентската институция и на НСО.
За да стигнат до центъра, разследващите прегледали логфайловете на сървърите на сайтовете. Там се съдържа информацията кой и кога е поискал достъп до страницата. Ако там излизат множество опити за вход от еднакви IP адреси, става дума за разпределителна атака за отказ от услугата.
Оттам се проследява откъде е насочен трафикът и къде се намира устройството, което координира цялата атака. То служи за т.нар. гара разпределителна и определя кои сайтове са атакувани, за колко време и каква част от заразените устройства да правят заявки към тях.
След като от службите ни установили откъде идва атаката, бързо стигнали и до човека, който вероятно стои зад нея. Неговите имена са Владимир Дмитриев, обясни следовател, запознат със случая. И посочи, че е стартирана процедурата по искане на екстрадиция. Уточняват се и самоличностите на още 146 души, заподозрени, че също са имали роля в кибератаката.
Засега не се очаква от Москва да ни предадат Дмитриев. Наши контраразузнавачи предполагат, че We are killnet нарочно са оставили следи, които да показват, че атаката идва именно от територията на Руската федерация. При други атаки хакерите използват за команден център пробита от тях система. След това я контролират дистанционно с помощта на услуга с нулево знание - такава, която не запазва дори ай пи адреса ви. Плащането пък става само с биткойни.
Бивши служители на българските служби обръщат внимание на името на хакера - Владимир Дмитриев.
“Сякаш някой е комбинирал първото име на руския президент Владимир Путин и за фамилия е сложил малкото име на Дмитрий Медведев, но от него е създал фамилия”, посочиха бившите контраразузнавачи. Добавят, че името е точно съвпадение с това на руски олигарх, който от 2004 до 2016 г. бе шеф на държавната инвестиционна компания ВЕБ. Обясниха и че ГРУ и СВР - военното и външното разузнаване на Руската федерация, имат собствени армии хакери.