Второго марта на сайт ЗАКС.Ру напали хакеры. Весь день техническая служба отбивалась от "паразитного" трафика, и к вечеру портал заработал. Третьего утром атака повторилась, и издание целый день работало с перебоями. К вечеру специалистам, наконец, удалось обеспечить безопасность сайта. В итоге портал фактически не работал в первые субботу и воскресенье марта – на его страницах не вышел репортаж о том, как петербургские оппозиционеры под видом социалистов проводили два параллельных "социальных марша", походя обвиняя друг друга в политическом спойлерстве. Анализируя улики, оставшиеся на месте виртуального преступления – в статистике сайта, ЗАКС.Ру обнаружил информацию, по своей откровенности фактически равносильную чистосердечному признанию исполнителей. Ниточка, которая связывает их с заказчиком, может оказаться предательски короткой.
Хроника
Атака на сайт продолжалась 2 дня. С технической точки зрения правильнее считать, что на сайт было совершено два разных нападения. В субботу, 2 марта, злоумышленники пытались заполнить пропускную способность интернет-канала "паразитными" запросами, чтобы не могли достигнуть серверов компании настоящие запросы читателей. В результате возникли проблемы с доступом не только на ЗАКС.Ру, но также на портал Лениздат.Ру и на сайт "Новой газеты в Санкт-Петербурге", входящих в холдинг "Медиа-СПб". К вечеру техническая служба восстановила работу ресурсов, выставив защиту на пути "ддосеров".
В воскресенье, 3 марта, стратегия взломщиков изменилась. С помощью специальной программы они вели подготовку к нападению, выискивая слабые места сайта – ошибки, допущенные при его "написании". А затем, обнаружив уязвимость, посылали запрос, для выполнения которого серверу приходилось производить несколько сот тысяч операций ежесекундно, на что уходила вся его мощность.
В отличие от субботней, это была не DDоS, а DоS-атака, она не была распределенной, то есть в ее осуществлении участвовало не множество компьютеров, которые могли находиться в любой точке мира, а лишь несколько IP-адресов.
Каждый раз с нового IP велось сканирование сайта, с этого же IP отправлялся запрос. Затем техническая служба ЗАКС.Ру блокировала IP-адрес, а злоумышленники по той же схеме атаковали сервер с нового, еще "не засвеченного" адреса. К вечеру воскресенья сайт удалось полностью обезопасить от нападений.
По итогам атаки в качестве "улик" в распоряжении портала оказались IP-адреса компьютеров, участвовавших в нападении. Все они приложены к заявлению в Бюро специальных технических мероприятий МВД РФ (Управление "К"). В основном это заграничные IP.
Рабочие версии
Атака, осуществленная в выходной день, главным политическим событием которого являлся раздвоенный "социальный марш" оппозиционеров, априори выглядит странновато. Ее целью могла быть месть ЗАКС.Ру со стороны кого-нибудь из героев публикаций сайта или попытка блокировать ресурс в важный для неизвестных момент.
Обычно версии политической мести практически не поддаются "распутыванию": зол на сайт может быть кто угодно. Для кого и по каким причинам решающим являлся первый весенний уик-энд, сказать с уверенность сложно. И все же сразу после атаки редакцией были выдвинуты некоторые версии.
Во-первых, в пятницу, 1 марта, комиссия по образованию, культуре и науке ЗакСа окончила прием документов по выдвижению кандидатов на звание "Почетный гражданин Санкт-Петербурга". 26 февраля портал опубликовал материал, подробно рассказывающий о ситуации, сложившейся при выдвижении кандидатов: почетные граждане, уже выдвинувшие кандидатуру полярника Виктора Боярского, стали неожиданно менять свои решения и отдавать предпочтение почетному строителю Вячеславу Заренкову. При этом в беседах с ЗАКС.Ру они не всегда могли аргументированно объяснить причину своих действий и ссылались на некое "общее собрание" и "коллективное решение".
Несмотря на то что 1 марта закончился прием документов по выдвижению кандидатов, предложения от губернатора и спикера ЗакСа – то есть самые авторитетные мнения для большинства парламентариев – к этому дню в комиссию не поступили. И хотя официально считалось, что бумаги "в пути", возможно, главы исполнительной и законодательной власти просто никак не могли решиться, кто же наиболее достоин их поддержки.
Во-вторых, накануне атаки, в пятницу, ЗАКС.Ру опубликовал текст о конфликтной ситуации, возникшей из-за ремонта участка дороги в Подпорожском районе Ленобласти. Прошлым летом работы там были произведены "в долг": компания сначала все сделала, а потом намеревалась "утрясти формальности", выиграв конкурс и получив деньги. Такие планы дорожники строили, по привычке полагаясь на главу комитета – в связке с ним они работали при губернаторстве Валерия Сердюкова. Однако власть в регионе сменилась, и хотя конкурс компания выиграла, однако деньги получить не смогла из-за обращения в суд конкурентов. Судебные процессы затянулись, потраченные деньги "зависли", а в области тем временем начали происходить таинственные вещи: анонимы принялись рассылать по СМИ письма, обличая коррумпированных чиновников, "крестьяне" стали разрушать дороги, опасаясь "распила" средств, выделенных на ремонт. О том, в чем заключается интрига, как раз и писал портал.
Третье предположение рассматривалось редакцией как маловероятное. В последние дни зимы техническая служба усовершенствовала защиту системы голосования на ЗАКС.Ру, нейтрализовав действия неизвестных, которые накручивали голоса в поддержку спикера ЗакСа Вячеслава Макарова. Это была уже не первая попытка пресечь нечестное голосование. В середине февраля IT-специалисты обнаружили, что "тайные доброжелатели" депутата используют специальный сервис для накруток. Каждый раз, когда кто-либо заходил на страницу сайта gbtorrent, Вячеслав Макаров получал 1 "лайк". Техническая служба заблокировала голоса, шедшие не со страниц ЗАКС.Ру. Однако за несколько дней неизвестные перенастроили gbtorrent и продолжили накрутки. Специалистам интернет-издания пришлось полностью заблокировать этот сайт и "вычистить" из рейтингов несколько тысяч накрученных в пользу Макарова голосов.
Учитывая техническую оснащенность людей, фальсифицировавших голосование на сайте, и упорство, проявленное ими, редакция рассматривала версию, что атака на ЗАКС.Ру была осуществлена из мести за блокировку накруток.
Роковой IP
Как ни странно, анализ "улик" принес неожиданные результаты. Почти все IP-адреса, участвовавшие в атаке, являлись заграничными, что вполне закономерно. Но вот один адрес оказался петербургским. Он принадлежит провайдеру Oyster Telecom (в переводе с английского – "устрица").
Oyster Telecom имел с ЗАКС.Ру шапочное знакомство. В 2010 году некий кировский провайдер, неправильно трактовав решение Минюста, блокировал своим пользователям доступ на сайт. И по случайному совпадению к гендиректору Oyster Telecom Роману Чернега тогда за экспертным комментарием обратился портал Лениздат.Ру.
Чернега, представляя Oyster Telecom на месте кировского провайдера, рассказывал, что его компания не стала бы самостоятельно принимать решения об ограничении доступа к тем или иным порталам, так как считает это нарушением прав своих клиентов.
Офис Oyster Telecom находится на Лодейнопольской улице, 5. Это в двух минутах ходьбы от метро Чкаловская. И в 15 минутах от дома 13 по улице Ждановская, где находится Военно-космическая академия имени Можайского, профессором которой является Вячеслав Макаров.
"Наша компания появилась в 2000 году с желания - желания работать в телекоммуникационной отрасли и желания узнать, что из этого выйдет, - значится в пункте "О компании" на официальном сайте Oyster Telecom. - Заниматься делом, которое действительно нравится, оказалось интересно, и уже в 2001 году на основе агентского договора были подключены первые клиенты ("Единая Россия" и "СоюзКвадро" - мы вас помним!)".
Однако Oyster Telecom – лишь провайдер. Участвовал же в атаке конкретный IP, принадлежащий ей. 3 марта в 19:41:45 с IP 87.249.46.221 к серверу ЗАКС.Ру начало поступать от 150 до 500 запросов в секунду, целью которых было обнаружить уязвимость на сайте. Вскоре IP был заблокирован технической службой интернет-портала.
По запросу "87.249.46.221" поисковая система "Яндекс" выдает только один ответ: "На ЗАКС.Ру работают боты в поддержку Вячеслава Макарова".
"Активность ботов была зафиксирована технической службой портала 30 января. Переходя от одной публикации к другой, в каждой из которых упоминается Вячеслав Макаров, они голосовали в поддержку его персоны. В этот день за спикера ЗакСа проголосовали 11 раз с компьютера, которому присвоен IP 87.249.46.221...", - писал ЗАКС.Ру 5 февраля.
"Почему сразу боты? Я лично голосовал за Вячеслава Серафимовича с 30 числа, потому что мне не нравилась та ситуация, которая была в рейтингах", - приписали в комментариях к новости с этого же IP. "Данная ситуация вызывает у меня уважение к спикеру а у завистников ненависть, потому что у него есть команда а у них нет", - гласил уже другой комментарий, размещенный через час с этого же IP.
Примечательно, что данный IP "поселился" на сайте 14 декабря 2011 года – в день избрания Вячеслава Макарова спикером ЗакСа. И первое, что сделал данный IP – 10 раз, становясь то мужчиной, то женщиной (согласно именам "авторов" комментариев), поздравил Макарова с избранием.
За год с лишним с данного IP было написано много комментариев, но шедевром его творчества можно считать записи в обсуждении персоны Макарова. На второй странице из "ноликов" и "пробелов" IP выложил огромные картины с пандами, надписями "Люблю", "Единая Россия" и даже портретом не то Макарова, не то Путина.
На обиженных воду возят?
Впрочем, как раз причастность к накрутке голосов данного IP могла оказаться вторичной. 6 марта Вячеслав Макаров заявил, что не станет в этом году выдвигать кандидата на звание почетного гражданина, и лишь значительно позже примет решение, кого из кандидатов, выдвинутых другими, он поддержит.
Тот факт, что свое решение Макаров озвучил только 6 марта, во время общения с журналистами на пленарном заседании ЗакСа, мог оказаться вовсе не первым удобным случаем. За день до этого, 5 марта, ЗАКС.Ру пробовал узнать о намерениях спикера: звонил ему лично и пытался выяснить через пресс-службу, однако никакого ответа так и не получил.
Между тем по Мариинскому ходят слухи, что в феврале спикер собирался выдвинуть на звание почетного гражданина Вячеслава Заренкова. Более того, соответствующее представление даже якобы было подготовлено председателем ЗакСа и передано в комиссию по культуре. Впрочем, есть в городском парламенте и сторонники "теории заговора", уверяющие, что история поддержки Заренкова – преднамеренная утка, выдуманная, чтобы бросить тень на имя спикера.
Олег Мухин