Глава 8
Путин наносит ответный удар
Первая атака началась вечером 3 декабря 2011 года, накануне выборов в Госдуму. Мишенью стал LiveJournal – самая популярная в России платформа для блогеров, которая вместе с Facebook превратилась в площадку для протестующих.
Антон Носик, медиадиректор компании SUP Media, был в Москве и внимательно следил за тем, что происходит с серверами, расположенными в Неваде. Серверы подверглись мощной DDoS-атаке, в результате которой один не выдержал избыточного количества фальшивых запросов и рухнул.
DDoS-атака была пусть и грубым, но достаточно эффективным методом. В 20:12 Носик написал в своем блоге: «Начавшийся с понедельника сеанс предвыборной DDoS-атаки Живого журнала продолжается без перерывов на обед и полдник. На эту минуту серверы ЖЖ долбят мусорными запросами со скоростью 12–15Гбит/с… Цель атакующих понятна. Это банальная советская «глушилка», и задача у нее та же самая: предотвратить неподконтрольный обмен информацией»
{142}.
Следующим утром, в воскресенье, 4 декабря, под ударом оказались четырнадцать независимых онлайн-СМИ: хакеры атаковали сайты «Эха Москвы», газеты «Коммерсант», Slon.ru, «Дождя» и «Голоса», мониторящего ход выборов. Серверы «Эха» не удавалось «поднять» до конца дня
{143}.
Атака на принадлежащий Синдеевой сайт Slon.ru стартовала приблизительно в 7:30, программисты начали отбивать ее только в 9 утра
{144}. Поначалу Slon пытался решить проблему самостоятельно, попросив хостинг-провайдера отрезать весь входящий зарубежный трафик. Это ненадолго помогло, но затем объем трафика увеличился, и сервер рухнул опять. Тогда cисадмины Slon решили обратиться за помощью к системе защиты от DDoS-атак Qrator, которая забирает весь трафик, фильтрует его и возвращает «чистым».
Было ясно, что за серией дидосов стоят близкие Кремлю люди, которые пытаются помешать распространять информацию о нарушениях на избирательных участках. Но им это не удалось. Slon.ru, «Большой Город», сайт телеканала «Дождь», «Эхо Москвы» и «Голос» быстро перенаправили трафик на серверы Qrator.
Мощные атаки продолжались до вечера: сайт Slon.ru на пике бомбардировали от 200 000 до 250 000 ботов – злоумышленники использовали ботнет, сеть зараженных вирусом зомби-компьютеров, которая рассылала фальшивые запросы, чтобы перегрузить сервер и в результате сделать сайт недоступным для пользователей
{145}.
На следующий день, 5 декабря, атака ослабла, но хакеры продолжали дидосить «Эхо Москвы» и «Голос», сменив тактику. Мельконьянц решил перенести данные о нарушениях на выборах в «Google Таблицы», и каждый, кто хотел, мог найти их.
6 декабря настала очередь Epic Hero Ильи Клишина. Сайт дидосили, cкорее всего, из-за объявления о митинге на Чистых прудах. На следующий день мощный DDoS обрушил наш сайт Agentura.ru. Техническому персоналу пришлось перезагружать сервер каждые пятнадцать минут, но это не помогало: cайт не работал почти целый день. 8 декабря атаке подвергся сайт «Новой газеты». У второй волны были другие цели: сдержать тех, кто освещает уличные протесты.
Кто стоял за этими кибератаками? DDoS к тому времени стал привычным явлением. История таких атак началась в январе 2002 года, когда хакеры парализовали работу сайта чеченских сепаратистов Kavkaz.org. Редкий случай, но хакеры – группа студентов из Томска – взяли на себя ответственность. Местное управление ФСБ было, очевидно, в курсе событий, выпустив пресс-релиз, в котором назвало акцию студентов «выражением их гражданской позиции, которая достойна уважения»
{146}. С тех пор под атаки патриотических хакеров стали попадать независимые СМИ, а также сайты Эстонии, Грузии и Литвы.
Кремль всегда отрицает свою причастность к кибератакам, но в 2009 году Константин Голоскоков, один из комиссаров прокремлевского движения «Наши», рассказал The Financial Times, что именно он и его товарищи организовали кибератаку на эстонские сайты в 2007-м после того, как Эстония вызвала гнев Кремля решением перенести памятник советским воинам из центра Таллина на окраину
{147}.
В декабре 2011 года все обсуждали атаки на сайты оппозиции и независимые СМИ, и Евгений Касперский, самый известный в стране эксперт по кибербезопасности, по идее, должен был заинтересоваться столь масштабной скоординированной акцией хакеров. Однако поначалу он вообще усомнился, что оппозиционные сайты подверглись атаке. 5 декабря Касперский написал в блоге: «Не исключен сценарий, что перегретые политической жизнью граждане с активной позицией "закликали" раскрученные политизированные сайты. То есть эти ресурсы вполне могли стать жертвой своей популярности». Правда, спустя десять дней, 16 декабря, он сообщил, что сайт журнала New Times предоставил ему логи, и подтвердил, что ресурс все-таки подвергся мощной DDoS-атаке. Однако оговорился: «Что-то мне подсказывает, что ни оппозиционные ресурсы, ни Кремль-Лубянка в таких атаках НЕ заинтересованы (оппозиции нужны работающие ресурсы, а власти невыгодно привлекать дополнительное внимание к оппозиции)»
{148}.
Касперский никогда не скрывал, что окончил Высшую школу КГБ, и его юношескую фотографию в форме офицера госбезопасности можно легко найти в интернете. Он с детства проявлял блестящие способности к точным наукам и был зачислен в физико-математическую школу-интернат при МГУ. Талантливому выпускнику были открыты двери всех вузов, но вместо того, чтобы поступить в престижный Физтех или МГУ, он пошел в Высшую школу КГБ изучать криптографию. В конце 1990-х он с нуля создал компанию «Лаборатория Касперского» (Kaspersky Lab), которая вскоре стала всемирным антивирусным брендом. Лаборатория Касперского всегда сотрудничала с ФСБ и МВД в расследовании киберпреступлений. А когда в 2011 году злоумышленники похитили 19-летнего сына Касперского, ФСБ помогла освободить юношу. Касперский публично поблагодарил сотрудников Лубянки и угрозыска за спасение сына.
