Разследването почнало след дописка на "24 часа"
Претовариха сървъра ни със заявки, за да пречат на хората да получават качествена информация от първото заседание на новия парламент
Процедурата по екстрадиция на руснака е започнала
На втора терористична атака бе подложено онлайн изданието ни.
Засега не е ясно дали тя отново е от групировката We are killnet, която в събота ни нападна, както и сайтовете на държавни институции. Тогава зад удара е бил руският гражданин Владимир Дмитриев, сочат данните на Националната следствена служба.
Всъщност разследването на българските служби за хакерската атака започва след текст на “24 часа” в онлайн изданието ни. На 15 октомври в 12,05 ч бе публикувана дописката “Руски хакери атакуваха България, удариха само президента засега”. В нея описахме, че сайтът на президентството не работи, докато, макар и по-бавно страниците на правителствените служби функционират. В материала обяснихме и че от руската група We are killnet са поели отговорност. Приложихме и екранна снимка от телеграм канала им, в която бе описано кои са набелязаните за блокиране сайтове.
Именно този текст е бил основание за самосезиране на разследващите и образуване на досъдебно производство, казаха от Националната следствена служба, която води случая. Оттам са установили кой плаща интернета на командния център, от който милионите заразени устройства са насочвани към сайтовете на държавните институции. Оказало се, че той е в Магнитогорск.
Там бил центърът на координираната атака. Тя бе от типа Distributed Denail of Service - DDoS, или разпределителна атака за отказ от услугата. Тя идва от голям и трудно определим брой източници, които целят да претоварят сървъра на даден сайт с цел блокирането на самата страница.
Обикновено се използват програми, които правят над 200 заявки за достъп до съдържанието на даден сайт за една секунда. Така той не може да отговори и блокира - съдържанието му не се показва. По същия начин е станала и атаката в събота. Заявките в секунда са били над 10 млн.
В Магнитогорск са насочвали трафика към държавните сайтове. От събраната информация става ясно, че не само компютри, но и мобилни телефони, таблети и дори перални и телевизори, свързани с интернет, са подавали заявки. Те са идвали от устройства от цял свят, включително от България - няколко български перални също са помогнали за атаката, както и множество компютри и телефони.
Кибернападението срещу България е било по-ново. Хакерите избрали да се атакува мястото, на което са разположени сайтовете. Така едновременно са правени заявки към всички страници на правителствени институции. Затова и те издържаха, за разлика от сайта на президентството, който блокира почти веднага. Просто заявките към асоциираните с МС сайтове са били разпределени към повече страници, докато администрацията на президента поддържа две - на президентската институция и на НСО.
За да стигнат до центъра, разследващите прегледали логфайловете на сървърите на сайтовете. Там се съдържа информацията кой и кога е поискал достъп до страницата. Ако там излизат множество опити за вход от еднакви IP адреси, става дума за разпределителна атака за отказ от услугата.
Оттам се проследява откъде е насочен трафикът и къде се намира устройството, което координира цялата атака. То служи за т.нар. гара разпределителна и определя кои сайтове са атакувани, за колко време и каква част от заразените устройства да правят заявки към тях.
След като от службите ни установили откъде идва атаката, бързо стигнали и до човека, който вероятно стои зад нея. Неговите имена са Владимир Дмитриев, обясни следовател, запознат със случая. И посочи, че е стартирана процедурата по искане на екстрадиция. Уточняват се и самоличностите на още 146 души, заподозрени, че също са имали роля в кибератаката.
Засега не се очаква от Москва да ни предадат Дмитриев. Наши контраразузнавачи предполагат, че We are killnet нарочно са оставили следи, които да показват, че атаката идва именно от територията на Руската федерация. При други атаки хакерите използват за команден център пробита от тях система. След това я контролират дистанционно с помощта на услуга с нулево знание - такава, която не запазва дори ай пи адреса ви. Плащането пък става само с биткойни.
Бивши служители на българските служби обръщат внимание на името на хакера - Владимир Дмитриев.
“Сякаш някой е комбинирал първото име на руския президент Владимир Путин и за фамилия е сложил малкото име на Дмитрий Медведев, но от него е създал фамилия”, посочиха бившите контраразузнавачи. Добавят, че името е точно съвпадение с това на руски олигарх, който от 2004 до 2016 г. бе шеф на държавната инвестиционна компания ВЕБ. Обясниха и че ГРУ и СВР - военното и външното разузнаване на Руската федерация, имат собствени армии хакери.
Засега от We are killnet не са поели отговорност за втория удар срещу “24 часа”.
Той започна по време на първото заседание на новия парламент и продължи с часове. По оперативни данни целта на хакерите е била най-големият информационен сайт да не може да съобщи на милионите си читатели какво се случва в пленарната зала, в която не бе поканена руската посланичка Елеонора Митрофанова. Повечето потребители държат сайта на “24 часа” на хоумпейджа си и на него проверяват дали това, което пристига при тях като информация по други канали, е достоверно.
Случайно или не, атаката дойде само ден, след като публикувахме информация, че главният прокурор Иван Гешев също е бил мишена на We are killnet, който написаха по негов адрес “Майната ти”.
Атаката в сряда бе много по-мащабна от съботната и по-продължителна, което изисква значителен финансов ресурс от страна на хакерите. Това показва, че терорът срещу “24 часа” не е случаен и има за цел да бъдем наказани.
