Опыт борьбы российских органов предварительного расследования с DDos-атаками на серверы зарубежных компаний

Дата: 13.10.2007
Источник: www.crime-research.ru
Автор: Виталий Вехов


... что российским органам предварительного расследования удалось накопить положительный опыт взаимодействия с правоохранительными органами зарубежных государств и разработать методические рекомендации по совершенствованию практики раскрытия и расследования преступлений выделенного вида. Проиллюстрируем отдельные их положения на следующем примере.

В июне 2004 года в МВД России поступили официальное заявление от Чрезвычайного и Полномочного Посла Соединенного Королевства Великобритании и Северной Ирландии в Российской Федерации, а также международный запрос по линии Интерпола от начальника Национального Управления по Борьбе с Преступлениями в Сфере Высоких Технологий Великобритании о деятельности организованной преступной группы российских хакеров, длительное время осуществлявших вымогательства денежных средств в особо крупных размерах у британских транснациональных букмекерских компаний и казино путем блокирования работы их web-серверов с помощью DDoS-атак.

Эти документы послужили основанием для возбуждения уголовного дела по признакам преступлений, предусмотренных пунктами «а» и «б» части 3 статьи 163 и части 2 статьи 273 УК РФ, т.е. вымогательство, совершенное организованной преступной группой в целях получения имущества в особо крупном размере, а также создание, использование и распространение вредоносных программ для ЭВМ, повлекшие тяжкие последствия.

Следствием установлено, что М., П. и С., а также лица, уголовное дело в отношении которых было выделено в отдельное производство, с октября 2003 года по июнь 2004 года посредством сервисов глобальной информационно-телекоммуникационной сети Интернет вступили в преступный сговор, направленный на вымогательство денежных средств в особо крупных размерах у иностранных компаний, осуществляющих свою коммерческую деятельность на основе сетевых систем электронного документооборота. С этой целью они объединились в организованную преступную группу.

Для реализации своего преступного умысла они решили использовать имевшиеся в их распоряжении компьютерные сети зараженных компьютеров, на которые в тайне от их владельцев были установлены разработанные специально для этих целей вредоносные программы, реализующие распределенные атаки с разных компьютеров без ведома их пользователей, что приводит к отказу в обслуживании атакуемого сервера стандартными программно- техническими средствами информационно-телекоммуникационной сети связи Интернет. Данные вредоносные программы для ЭВМ были предназначены для реализации одновременных распределенных атак с разных компьютеров без ведома их пользователей посредством автоматической отсылки в адрес сервера потерпевшего многочисленных запросов, что приводит к отказу в обслуживании, если информационные ресурсы атакуемого сервера недостаточны для обработки всех поступающих запросов одновременно за единицу времени.

Участники организованной преступной группы распределили свои роли следующим образом. П. должен был предоставлять в необходимое время принадлежащую ему сеть компьютеров, зараженных вредоносными программами, для осуществления DDoS–атак на удаленные серверы. Он должен был привлечь в преступную группу других лиц, имеющих познание в создании и сетевом распространении вредоносных программ для ЭВМ. В обязанности М. входили доработка специальных вредоносных программ, предназначенных для организации распределенного отказа в обслуживании удалённых серверов, посредством встраивания в них специального программного модуля, отвечающего за саморазмножение программы через выявленные ими уязвимости в операционной системе Windows, для получения без ведома пользователей контроля над удаленными компьютерами.

Кроме того, М. должен был вести наблюдение за атакой в моменты ее активного воздействия на удаленные серверы, техническую поддержку ее полноценного функционирования и устранение возможных сбоев и неполадок атаки. С., согласно отведенной ему в организованной преступной группе роли, должен был заниматься мониторингом при подготовке и проведении атак на удалённые серверы, а также изучением всех появляющихся в международной криминальной практике новых вредоносных программ для последующего их использования для совершения указанных преступлений членами его преступной группы.

В целях сокрытия преступной деятельности и уклонения от уголовной ответственности, преступники всегда использовали различные средства маскировки своих фактических данных. При общении между собой они пользовались лишь сетевыми псевдонимами. Для маскировки или изменения своего фактического IP-адреса они пользовались различными анонимными прокси-(proxy)-серверами, VPN-сервисами и различными анонимными почтовыми серверами («анонимайзерами»). Также они использовали вымышленные имена для регистрации электронных почтовых ящиков на почтовых серверах провайдеров услуг Интернет, находящихся в различных странах мира.

Участниками организованной преступной группы была тщательно разработана схема получения с потерпевших компаний вымогаемых денежных средств через имеющуюся сеть международных платёжных систем, таких как Western Union, Webmoney, а также с использованием российской системы международных переводов денежных средств Автобанк – Никойл. В целях сокрытия преступной деятельности преступники в своих электронных письмах требовали от потерпевших компаний переводить деньги на заранее оговоренные имена жителей Республики Латвия, которые занимались обналичиванием и дальнейшим переводом денежных средств уже на территорию России.
Например, в период с 9 час 25 октября 2003 года до 12 час 28 октября 2003 года, в дни проведения традиционных общественно-популярных соревнований – скачек «Кубок Бридерса», П. и другие участники организованной преступной группы, используя имеющиеся в их распоряжении сети компьютеров, зараженных специальными вредоносными программами, позволяющими удаленно их администрировать посредством IRC-канала, произвели DDoS – атаку на Интернет-сайт британской компании «К-Лтд», имеющей IP-адрес 195.ЧЧ.ХХ.КК и следующие Web – адреса: www.c.com, www.c.co.uk, www.c.com.au, деятельность которой полностью основывается на постоянном доступе к ресурсам глобальной компьютерной сети Интернет и приеме ставок от клиентов на результаты спортивных соревнований только лишь посредством сервисов сети Интернет.

Согласно распределению ролей между участниками организованной преступной группы, М. и С. осуществляли контроль и мониторинг за ходом и состоянием атаки, а также устраняли возникающие технические проблемы. Атака имела лавинообразный эффект поглощения трафика сервера атакуемой компании, при которой около 425 уникальных сетевых (IP) адресов создавали более 600 000 одновременных соединений с Web-сервером компании, посылая запросы на получение информации со скоростью более 70 мегабайт в секунду, в то время как в обычном режиме Web-сервер получает запросы на информацию со скоростью 2 мегабайта в секунду. В результате этого, Web-страница компании была отключена от сети Интернет. Во время атаки на электронные почтовые ящики компании «К-Лтд» [email protected], [email protected], [email protected], [email protected] преступники, с целью получение денег в особо крупном размере, направили электронные письма с требованиями передачи им денежных средств в сумме 40 тыс. долларов США, что составляет 1196624 руб. из расчёта 29,9156 руб. за 1 доллар США, угрожая в случае невыполнения их требований продолжением атаки до полного разорения компании.

Руководство компании, воспринимая полученные угрозы как реальные и действительно понеся крупные убытки от противоправной деятельности организованной преступной группы, приняло решение удовлетворить требования вымогателей. Получив согласие на выплату требуемой суммы, участники организованной преступной группы, не прекращая атаку, выслали в адрес компании список имен жителей Латвии, которым необходимо было перечислить денежные средства в сумме 40 тыс. долларов США. В период с 27 по 31 октября 2003 года, используя, по требованию вымогателей, международную платежную систему Western Union, компания «К-Лтд» произвела 27 денежных переводов на указанные вымогателями фамилии на общую сумму 40 тыс. долларов США. В последующем, денежные средства из Латвии были переведены на счёт № ЧЧЧЧЧЧЧЧЧЧ в ОАО «Севкавинвестбанк» (г. Пятигорск) на имя А. и З. Полученные денежные средства участники преступной группы распределили между собой.

В период с 29 января по 4 февраля 2004 года, несмотря на полученные деньги, преступники вновь атаковоли web-сервер компании «К-Лтд», считая ее платежеспособной. В результате этого, Web-страница компании была отключена от сети Интернет. Во время атаки с почтового ящика [email protected] на электронные почтовые ящики компании преступники вновь направили электронные письма с требованиями передачи им денежных средств в сумме 10 тыс. долларов США, угрожая в случае невыполнения их требований продолжением атаки до полного разорения компании. Желая довести свой преступный умысел до конца, они в период с 14 марта по 17 марта 2004 года возобновили DDoS – атаки на Интернет-сайты компании «К-Лтд».

Во время атаки 14 марта 2004 года на электронные почтовые ящики компании преступники направили электронные письма с почтового ящика [email protected] с требованиями передачи им денежных средств в сумме 15 тыс. долларов США, угрожая в случае невыполнения их требований продолжением атаки до полного разорения компании. Руководством компании «К-Лтд» было принято решение не платить деньги вымогателям и обратиться за помощью в правоохранительные органы.

Вышеуказанным способом по июнь 2004 года включительно преступниками были атакованы web-сервера еще 8 зарубежных компаний. Показательно то, что в отличие от предыдущего случая, руководители этих компаний денег преступникам не платили, а сразу же обращались за помощью к правоохранительным органам.
В виде реальных убытков от выплаченных вымогателям...

Добавить комментарий

Всего 0 комментариев