Расследование, за которым следуют аресты и суд, в Украине - большая редкость. А если дело касается преступлений в интернете – такой случай можно смело назвать уникальным. Результатом международного расследования стало первое в истории судебной системы Украины слушание и уголовное наказание за организацию DDoS-атак.
Украину сейчас модно называть "нацией стартапов", отечественные IT-специалисты востребованы и высоко ценятся в зарубежных компаниях. Однако не все используют знания и опыт во благо, есть и те, кто готов применять их с деструктивными целями.
Вся история началась еще в сентябре 2015 года, когда на интернет-сайты компаний из США начались мощные DDoS-атаки. В частности, жертвами стали сайт знакомств AnastasiaDate, платежная система PayOnline и множество других веб-сайтов, размещенных на серверах хостинговой компании Stafford Associates. Далее события развивались по схожему сценарию: киберпреступники связывались с жертвами при помощи Skype, и требовали вознаграждение до $50 тыс. за прекращение DDoS-атаки. Получив от жертв деньги, злоумышленники даже предлагали им за дополнительную плату информацию о заказчиках атаки либо организацию DDoS-атаки против конкурентов. Фактически, схема ничем не отличалась от действий "спортсменов" в кожаных куртках из бандитских 90-х.
DDoS (англ. Distributed Denial-of-Service) – распределенная атака типа "отказ в обслуживании", задача которой – вывести из строя атакуемый интернет-ресурс или сервер. На сайт-жертву направляется огромный поток данных, которые занимают весь канал связи. Сайт не справляется с обработкой большого количества входящих данных и перестает работать. Поток данных для атаки генерируют зараженные вредоносными программами компьютеры, объединенные в особую структуру – ботнет. Для обычной компании перебои в работе сайта – мелкие неудобства. Совсем другое дело, если ее деятельность всецело происходит в интернете и не терпит перебоев. Именно такими и являлись все жертвы киберпреступников.
Важный нюанс: современное сетевое оборудование отражает DDoS-атаки даже без вмешательства человека. Небольшие хостинговые компании, которые используют не столь новое оборудование, обычно борются с DDoS единственно доступным радикальным способом: просто отключают проблемный сайт или сервер. Фактически происходит именно то, чего и добиваются организаторы атаки.
Обратная сторона медали еще интересней: подготовка DDoS – дело хлопотное и достаточно затратное, в первую очередь, это касается создания и поддержки ботнета. С началом атаки ботнет полностью раскрывает себя и становится мишенью для антивирусов и другого защитного ПО. При первой атаке на сайт AnastasiaDate в "черном списке" оказалось 2000 IP-адресов, а при повторной атаке в 2016 году – уже более 10 000. С начала атаки время существования ботнета исчисляется часами, через несколько дней интенсивность атаки идет на спад. Но время – деньги. И это не считая ущерба для репутации и других потерь, которые могут исчисляться десятками тысяч долларов.
Потерпевшие не стали сидеть сложа руки. Служба безопасности AnastasiaDate привлекла две частные фирмы – Group-IB и Qrator Labs, специализирующиеся на кибербезопасности и защите от DDoS-атак, началось расследование.
Эксперты проанализировали цифровые "следы", которые оставили после себя злоумышленники. Для контакта с жертвами вымогатели использовали две учетные записи в мессенджере Skype с логинами greggix и gammi331, а также адреса почты Google. Из общей массы IP-адресов анонимных proxy-серверов сыщиков особенно заинтересовал один, принадлежащий львовскому провайдеру UARNET. Так была установлена личность первого подозреваемого. Им оказался безработный львовянин Гайк Гришкян.
Злоумышленники получали деньги на счета платежных систем QIWІ и "Яндекс.Деньги". Анализ движения средств подтвердил причастность Гришкяна к DDoS-атакам и раскрыл личность второго соучастника. Инна Яценко, жительница Черкасс, получала крупные суммы денег от третьих лиц со счетов, на которые жертвы DDoS-атак перечисляли "откупные". Она же руководила всей группировкой и занималась поиском объектов для атак. Расследование установило, что ранее Яценко сотрудничала с AnastasiaDate. Она знала все особенности работы бывших партнеров, что сделало их для нее идеальной жертвой. Организованная Яценко группировка активно предлагала услуги по организации DDoS-атак на околохакерских ресурсах.
К моменту завершения второй волны атак в 2016 г. эксперты Group-IB окончательно установили связь между Яценко и Гришкяном. Было собрано достаточно улик, подтверждающих, что именно они шантажировали компании, а также являлись исполнителями DDoS-атак 2015 года. Далее события развивались стремительно: в декабре представители потерпевших подали заявление в отделение полиции Черкасс, на основании которого началось уголовное расследование.
Уже в марте 2017 года следователи провели обыски в квартирах и офисах главных подозреваемых. Оперативники конфисковали компьютеры и мобильные телефоны, которые содержали неопровержимые доказательства преступной деятельности Яценко и Гришкяна. Злоумышленники свято верили, что нигде не оставили следов, а искать на другом конце земного шара их никто не будет. Они неоднократно пренебрегли анонимностью, что сыграло на руку правоохранителям.
В ходе судебного процесса Гришкян и Яценко полностью признали свою вину. И, несмотря на то, что ранее украинские судьи не сталкивались с подобными делами, а также на смягчающие обстоятельства, получили уголовное наказание: пять лет условно без права заниматься деятельностью, связанной с компьютерами. Решения суда не смягчил даже тот факт, что Инна Яценко является матерью-одиночкой двоих несовершеннолетних детей и инвалидом второй группы.
Дело Яценко и Гришкяна стало знаковым для всех. Сотрудничество специалистов в сфере кибербезопасности и правоохранителей способно отправлять преступников из Сети прямиком на скамью подсудимых. И приговоры, судя по всему, будут становиться суровее.
Кстати, в среде компьютерного андеграунда организация DDoS-атак – занятие непрестижное. Это не хакерство, а деятельность сродни неквалифицированному физическому труду. Инструменты просты и общедоступны, воспользоваться ими может даже полуграмотный студент. Эффект от DDoS-атаки можно сравнить со стрельбой из дробовика в толпе: основной удар приходится на избранную жертву, но сопутствующий ущерб просто колоссальный. Зато на сегодняшний день вполне реально защитить онлайн-бизнес от DDoS-атак.
