$10 хил. долара струвала атаката над държавните сайтове, хакерите ползвали и зомбирани перални
Страницата на “24 часа” също бе свалена от руснаците за няколко минути
10 000 долара в биткойни са платили руските хакери от We are killnet, за да атакуват сайтовете на държавни институции, летища, телекоми и медии, сред които и “24 часа”. Срещу тази сума са получили заразени дигитални устройства, с които да правят милиони заявки в секунда за отваряне на страниците, като по този начин те блокират и не показват съдържанието си. Поводът за атаката - България подкрепя Украйна и “заради доставки на оръжия” за Киев.
Обявите за такива атаки в даркуеб - тъмната част на интернет, са много. При тях срещу подобна цена за 6 до 12 часа се наема мрежа от заразени устройства, която да атакува избраните от поръчителя сайтове. 3 дни преди посегателството срещу българските страници от групировката We are killnet са пуснали обява в канала си в чат приложението телеграм, че имат нужда от дарения. Дали парите са отишли точно за тази атака или са за бъдещи планове, няма как да се разбере. Факт е, че преди събота в телеграм каналите им никога не е споменавано за планове за удари срещу български сайтове.
Самата атака направи така, че сайтовете временно станаха недостъпни. Най-сериозно пострада този на президентството, който не можеше да бъде отворен няколко часа. За кратко блокираха и тези на МВР, военното министерство, данъчната служба.
Сайтът на “24 часа” също беше сред засегнатите и съдържанието му бе недостъпно за няколко минути. След бърза реакция на екипа бе задействана защита и хората пак имаха достъп до достоверната и проверена информация, която изданието ни предлага.
Държавата също реагира сравнително бързо и спря достъпа от чужди ай пи адреси.
Шефът на следствието Борислав Сарафов пък обяви, че атаката идва от Магнитогорск и дори се знаят името и адресът на извършителя. (Виж карето долу)
Самата атака бе от типа Distributed Denail of Service - DDoS, или разпределителна атака за отказ от услугата. Тя идва от голям и трудно определим брой източници, които целят да претоварят сървъра на даден сайт с цел блокирането на самата страница.
Обикновено се използват програми, които правят над 200 заявки за достъп до съдържанието на даден сайт за една секунда. Сайтът не може да отговори на заявките и блокира - съдържанието му не се показва.
По същия начин е станала и атаката в събота. Заявките в секунда са били над 10 млн.
Собствениците на самите компютри и други устройства, осъществили милионите заявки в секунда, дори не са били наясно с атаката. За да прикрият следите си,
нападателите са използвали “зомбирана” ботнет мрежа. Какво е това?
При подобна атака се използват потребители, чиито компютри са заразени, например чрез теглене на нелегален софтуер, в който е вкаран ботът. Така компютърът се превръща в зомби агент, чакащ да бъде използван.
Ботът е вирус, който може да изпълнява автоматични действия, които да навредят на носителя или на друга посочена цел.
Изключително уязвими са и смартфоните, които имат по-малко защити, и други устройства като телевизори, свързани с интернет. При такива атаки не се източват бази данни, нито се пипа съдържанието. Единствената щета са пропуснатите ползи от времето, в което сайтът е бил недостъпен.
От събраните данни става ясно, че не само компютри, но и мобилни телефони, таблети и дори перални и телевизори, свързани с интернет, са подавали заявки. Те са идвали от устройства от цял свят, включително от България. Така например няколко български перални също са помогнали за атаката, както и множество компютри и телефони.
В случая с кибернападението срещу България е избрано да се атакува мястото, на което са разположени сайтовете. Така едновременно са правени заявки към всички страници на правителствени институции.
Сайтът на президентството се хоства (е разположен) на друго място, затова падна. Другата причина е, че правителствените сайтове са по-защитени. Парадоксално - заради стара руска атака.
През 2015 година по време на местните избори сайтовете на ЦИК, МВР и други правителствени институции бяха блокирани от милионите заявки. Затова след атаката се сдобиха със защити. Смята се, че зад тогавашното хакване стои близката до ГРУ хакерска група Fancy Bear. За разлика от тях, няма данни We are killnet да са свързани с Кремъл. Те се обособиха като групировка след началото на войната в Украйна. Оттогава атакуват сайтове и държави, които не подкрепят руската агресия.
Най-известната им атака е срещу сайта за гласуване на Евровизия. Италианската полиция ги спря, заради което групата удари сайта на карабинерите.
Групировката е нападала и Румъния, Молдова, Литва. Последната им атака преди тази срещу България е на 10 октомври. Тя бе срещу сайтове на щатски летища и компанията “Локхийт Мартин”, най-известна с производството на военни изтребители.
Ден след неуспешната атата групировката попита последователите си дали “мирните българи, които харесват Русия, са готови да свалят това антируско правителство”.
Шефът на следствието: Знаем кой е извършителят, от Магнитогорск е
Установен е вече конкретен извършител на хакерската атака. Знаят се неговото име, адресът и местонахождението му, съобщи зам. главният прокурор и шеф на следствието Борислав Сарафов.
Той уточни, че атаката идва от руския град Магнитогорск. Тя е насочена срещу държавността и срещу множество български държавни институции. Атаката е от територията на Руската федерация и по-конкретно от група хакери, базирани в руския град Магнитогорск, допълни Сарафов.
Случаят е изключително сериозен за българската национална сигурност, отбеляза главният прокурор Иван Гешев. По думите му два месеца е срокът за разследване. Никой няма желание да не работи активно, каза още Гешев.
Атаката е била потенциално предвидима, защото сме част от ЕС и спазваме европейските ценности, каза още главният прокурор.
Специализираният софтуер ни даде възможност да проследим атаката до нейния зародиш – град Магнитогорск, допълни Борислав Сарафов.
Той припомни, че това не е първата хакерска атака срещу държавата. “Атаката срещу “Български пощи” беше проведена също от територията на Руската федерация”, каза шефът на националното следствие.
Системата за киберсигурност е реагирала, защити са сработили и затрудненията за достъп до атакуваните сайтове са били минимални. Не е атакувана и няма компрометирана информация и данни, посочи още зам. главният прокурор.
Атаката не сработи, нищо иновативно няма в нея, коментира пък говорителят на служебното правителство Антон Кутев. “Тя не цели изнасяне на лични данни, а сриване на сайтовете. Тоест има рекламна цел за организацията, която го прави. Тя не е толкова сериозна, че да застрашава функционирането на държавата”, каза още Кутев.