Хроники эстонской кибервойны

Хроники эстонской кибервойны

"Если на улицах дерутся, то будут драться и в интернете", отметил Хиллар Аарелаид, директор эстонской Компьютерной команды.

Когда в апреле эстонские власти приступили к демонтажу бронзовой статуи советского солдата времен Второй мировой войны, стоявшей в парке в этом оживленном портовом городе на берегу Балтийского моря, они ожидали бурных уличных протестов и беспорядков со стороны жителей Эстонии русского происхождения.

Они также знали по опыту, что "если на улицах дерутся, то будут драться и в интернете", отметил Хиллар Аарелаид, директор эстонской Компьютерной команды быстрого реагирования. В конце концов, в быту местных жителей роль интернета едва ли уступает значимости водопровода: интернет-сетью здесь запросто пользуются для голосования, заполнения деклараций о доходах для налогового ведомства, а также – через сотовые телефоны – для совершения покупок или оплаты парковки.

И тут разразилось то, что в Эстонии некоторые называют первой войной в киберпространстве. Эта кампания, продлившаяся целый месяц, заставила эстонские власти оборонять свою крохотную прибалтийскую страну от колоссального потока данных, который, по словам Эстонии, был организован по приказу России или этнических русских в отместку за демонтаж памятника.

Эстонцы уверяют, что один из интернет-адресов, с которых производились атаки, принадлежит сотруднику администрации президента Путина.

Российские власти начисто отрицают свою причастность к хакерским атакам, которые едва не заблокировали всю виртуальную инфраструктуру Эстонии, вызвав перегрузку на сайтах президента, премьер-министра, парламента и других государственных органов, затруднив работу крупнейшего в стране банка и сайтов нескольких газет.

"Как оказалось, это коснулось национальной безопасности, – заявил в интервью Яак Аавиксоо, министр обороны Эстонии. – Это фактически подобно блокаде морских портов".

За истекшее с того момента время в Таллин съехались специалисты по информационной безопасности из НАТО, Евросоюза, США и Израиля, чтобы предложить свою помощь и выяснить все возможное о кибервойне в век интернета.

"Вполне возможно, что случившееся станет поворотным моментом: широкие массы осознают, до какой степени уязвимо современное общество, – заявляет Линтон Уэллс-II, старший заместитель министра обороны по вопросам компьютерных сетей и информационной интеграции. – Это событие привлекло внимание массы людей".

Власти ожидали, что за переносом памятника, который стал символом в политической борьбе значительного русскоязычного меньшинства в Эстонии, последуют акции возмездия, тем более что памятник отправился на военное кладбище, добраться до которого труднее, чем до прежнего места, где он стоял.

Когда 26 апреля в виртуальное пространство Эстонии пробрались первые нарушители, Аареланд считал, что готов отразить атаку. Он окружил государственные сайты брандмауэрами, ввел в строй дополнительные серверы и перевел своих сотрудников на режим повышенной готовности.

К 29 апреля на таллинских улицах вновь воцарилось спокойствие после двух ночей беспорядков, вызванных переносом памятника, но электронная "линия Мажино" Эстонии начала рушиться. В ходе одной из первых атак поток спама переполнил почтовые ящики парламента, и сервер отключился. Хакеры также взломали сайт Реформистской партии и разместили на нем подложное письмо за подписью премьер-министра Андруса Ансипа, в котором тот якобы извинялся за перенос памятника.

Тогда Аарелаид, бывший полицейский, собрал специалистов по безопасности из эстонских фирм – интернет-провайдеров, банков, госучреждений и полиции. Он также обратился к своим коллегам из Финляндии, Германии, Словении и других стран с просьбой о помощи в выслеживании и блокировании подозрительных интернет-адресов и блокировании трафика компьютеров, расположенных в таких отдаленных регионах, как Перу или Китай.

Большая часть атак производилась с использованием метода DDOS – распределенной атаки типа "отказ в обслуживании". Бомбардируя "мусорными запросами" сайты некой страны, агрессоры в силах спровоцировать перегрузку не только серверов, но также роутеров и свитчей – специальных устройств, направляющих информационные потоки в сети.

Чтобы усилить натиск, хакеры заразили компьютеры по всему миру программами, которые называются "ботами", и связали их в сети для осуществления вторжения. Так компьютеры невольно стали пешками (или, как говорят профессионалы, "зомби-машинами") кибератаки.

В одном из случаев нападавшие сначала послали один громадный пакет данных, чтобы установить возможности сети. Затем, несколько часов спустя, в систему хлынули потоки данных из множества источников, так что технические возможности роутеров и свитчей были быстро исчерпаны.

К концу первой недели атак Эстония с помощью властей других стран неплохо научилась отфильтровывать зловредные данные. Но Аарелаид знал, что худшее еще впереди. 9 мая – это День Победы, когда Россия празднует победу Советского Союза над нацистской Германией и чтит павших солдат Красной Армии. Интернет буквально кишел планами отметить праздник, обрушив сеть в Эстонии.

Аарелаид собрал глав служб информационной безопасности банков, убеждая их не допускать перебоев в обслуживании. Ему также было приказано уберечь важный правительственный сайт, с помощью которого проводятся брифинги. Другие сайты – например, сайт президента Эстонии – были принесены в жертву как второстепенные.

Атакующие воспользовались колоссальной сетью ботов – возможно, целым миллионом компьютеров в таких далеких странах, как США и Вьетнам, – чтобы расширить последствия атаки. Об их финансовой состоятельности говорит наличие сведений, что они арендовали машинное время на других так называмых "ботнетах".

"Если взять очень, очень большие пакеты информации и скомбинировать их с тысячами машин, это надежный рецепт крайне разрушительных DDOS-атак", – пояснил Хосе Насарио, эксперт по ботам из фирмы Arbor Networks, занимающейся безопасностью в интернете (Анн Арбор, штат Мичиган).

В ночь с 8 на 9 мая, после полуночи, объемы трафика во много тысяч раз возросли по сравнению с нормальными потоками. Еще труднее пришлось 10 мая: крупнейший в Эстонии банк Hansabank был вынужден более чем на час прекратить обслуживание клиентов в онлайне. Он до сих пор подвергается атакам и продолжает запрещать доступ с 300 подозрительных интернет-адресов. Понесенный им ущерб оценивается, как минимум, в 1 млн долларов.

Наконец после обеда 10 мая арендованное хакерами на серверах время истекло, и атаки ботнетов внезапно прекратились.

В общей сложности Arbor Networks зафиксировала десятки атак. 10 самых крупных "выстреливали" по Эстонии потоками данных по 90 мегабит в секунду. Каждая из этих атак длилась до 10 часов. Это все равно что скачивать всю операционную систему Windows XP каждые 6 секунд в течение 10 часов.

"Хиллар и его люди – хорошие специалисты, – говорит Билл Вудкок, американский эксперт по безопасности в интернете, также наблюдавший ответные меры эстонцев своими глазами. – Немногие страны могут бороться с подобной угрозой с таким невозмутимым профессионализмом".

Но линия обороны Эстонии не была неприступной. Чтобы заблокировать враждебные данные, страна была вынуждена закрыть большие области своих сетей для доступа из-за границы.

"Конечно, это не дело, когда эстонский бизнесмен, находящийся в зарубежной поездке, не может получить доступ к своему банковскому счету, – говорит профессор информатики Линнар Виик, один из ведущих специалистов по высоким технологиям в Эстонии. – Для членов эстонского парламента это означало необходимость четыре дня обходиться без электронной почты".

И все же, по словам Виика, случившееся – это ценный опыт. К примеру, использование ботнетов демонстрирует, что нападение хакеров на одну страну может втянуть в конфликт много других стран.

В последние годы хакерские атаки ассоциировались с Ближним Востоком и сербско-хорватскими конфликтами. Но в прошлом были случаи, когда взламывалась защита компьютерных систем Пентагона, NASA, университетов и исследовательских лабораторий.

На съезде Национальной академии наук США в этом году ученые заслушали доклады специалистов по военной стратегии, где доказывалось, что Россия и Китай разрабатывают "информационное оружие" наступательного назначения. Есть сведения, что кибервооружения начали создавать и США.

Хотя Эстония не может удостовериться в том, кто именно на нее напал, планы атак были вывешены в интернете еще до их начала. На русскоязычных форумах и в чатах следователи нашли подробные инструкции по рассылке диверсионных сообщений и советы, какие эстонские сайты атаковать.

"Мы наблюдали за их приготовлениями в реальном времени", – говорит Аарелаид. Несколько недель спустя он нашел несколько примеров при помощи Google.

Возможно, эти атаки заставят НАТО провести дискуссию о том, необходимо ли этому альянсу обновить концепцию коллективной обороны, закрепленную статьей 5 Североатлантического договора. По словам Аарелаида, натовские эксперты по интернет-безопасности во время своего визита мало говорили, но много записывали.

Некоторые эксперты утверждают, что нападающих вряд ли когда-нибудь поймают: интернет – это темные дебри, где агрессоры могут маскироваться, используя чужие интернет-адреса, или программировать удаленные компьютеры для рассылки данных без ведома их владельцев. По словам представителей американской администрации, характер нападений свидетельствует, что инициатива исходила от "хактивистов" – специалистов, которые не связаны с государственными органами и действуют самостоятельно.

"На данный момент мы не в состоянии доказать непосредственной связи с государственными органами, – сказал Аавиксоо, министр обороны Эстонии. – Мы можем только сказать, что сервер в офисе нашего президента получил запрос с IP-адреса в администрации российского президента". (Аббревиатура "IP" означает "интернет-протокол"). Москва вызвалась помочь в выслеживании лиц, которых эстонские власти подозревают в причастности к атакам.

Официальный представитель Кремля Дмитрий Песков заявил, что Российская Федерация непричастна к атакам. Он также добавил, что эстонской стороне следовало бы быть крайне осторожной при выдвижении обвинений.

Эстонская полиция арестовала, а затем освободила 19-летнего жителя Эстонии русского происхождения, подозреваемого в причастности к организации атак. Тем временем министерство иностранных дел Эстонии распространило документ, в котором перечислены несколько интернет-адресов, принадлежащих компьютерам в российских государственных органах, которые якобы принимали участие в атаках.

"Я не думаю, что это была Россия, но как тут установишь? – сказал Гади Эврон, специалист по компьютерной безопасности из Израиля. Эврон провел в Таллине четыре дня, проводя, так сказать, патологоанатомическое вскрытие системы по заказу эстонцев. – Интернет идеально приспособлен для того, чтобы правдоподобно отрицать все что угодно".

Эврон, один из руководителей фирмы Beyond Security, работающей в области интернет-безопасности, – настоящий ветеран хакерских войн. Он создал в Израиле Компьютерную команду быстрого реагирования. В Израиле сайты регулярно подвергаются атакам палестинцев и симпатизирующих им лиц.

"Если возникает политическая напряженность, это обязательно имеет последствия в виртуальных сетях", – сказал Эврон, сославшись на случай атак по сайтам в Дании после того, как датская газета опубликовала карикатуры на пророка Мухаммеда.

Хакеры не прекратили атаковать эстонские сети, но масштаб и интенсивность нападений уменьшились. Теперь их главной мишенью являются банки. Последняя крупная волна атак наблюдалась 18 мая.

Теперь, когда натиск ослаб, Аарелаид ремонтирует разрушенное. Несколько дней назад ему удалось выбраться в сауну за компанию с Яаном Приисалу – начальником отдела компьютерной безопасности в Hansabank и другими друзьями и коллегами.

"Я простой айтишник, – говорит он, созерцая мерцающий экран монитора. – Я много знаю о битах и пакетах данных. В крупных вопросах я не разбираюсь. Но все это кто-то срежиссировал".

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.