Проблемите с хакнатия сайт на МВР са продължили от неделя сутринта до следващия ден, като чак във вторник (27 октомври) се отваряше без затруднения. Според неофициална информация от министерството, за разлика от сайтовете на ЦИК и ГРАО, този на вътрешното ведомство е бил извън строя продължително време, защото е липсвал софтуер за справянето с атаката.
От Министерството на транспорта, информационните технологии и съобщенията вече поясниха, че в неделя сутринта към сайта на ЦИК са отправени повече от половин милиард заявки в рамките на около 10 часа. Експертите от звеното за компютърна сигурност успели да идентифицират IP адреси във Виетнам, Турция и САЩ, от които идва атаката. В началото на удара са регистрирани 60-65 милиона едновременни потребителски сесии към портала на ЦИК. Иначе нормалният трафик към сайта на избирателната комисия при предишните избори е бил 1.7-1.8 милиона заявки за един месец.
Безпрецедентната атака даде основание на ръководството на транспортното министерство да заговори за сериозна организация на удара, целяща да срути гласуването за референдума. По тази причина са били сигнализирани съответните звена за компютърни престъпления в ГДБОП и ДАНС, които продължават да разнищват откъде идват атаките и кой се крие зад тях.
Според специалистите атаката е от типа "отказ от услуга" (DDoS), като към интернет портала на ЦИК са направени над 530 000 000 заявки в рамките на 10 часа, като една четвърт от тях са от видими IP адреси с произход Виетнам, Турция и САЩ. Атаките от такъв тип се осъществяват чрез дистанционен контрол на милиони компютри, предварително заразени със зловреден софтуер, който може да се активира едновременно и да насочва заявки към избрани цели. Тъй като в световен мащаб има тенденция към увеличаване на броя и интензитета на тези атаки, в "Информационно обслужване" АД има създадено звено за специфична защита, снабдено с необходимите технологични джаджи и софтуер, какъвто ползва Белият дом например. Това е причината атаката да бъде неутрализирана в рамките на час и половина, стана ясно от съобщение на транспортното министерство в началото на седмицата.
И докато транспортното ведомство се хвали, в МВР са се умълчали като диво прасе в тръстика по темата. И въпросът как е възможно дружеството "Информационно обслужване" да разполага с ефективни средства за защита от хакери, а МВР- не, увисва във въздуха. Атаката предизвиква истински шок не само с мащаба си, но и с очевидната безпомощност на вътрешното ведомство да се справи с нея. Още повече при наличието на специализиран сектор "Компютърни престъпления, интелектуална собственост и хазарт" в ГДБОП, начело на който стои фамозният Явор Колев. Изглежда, той е твърде зает в реализирането на кампанията "Кой стои срещу мен в мрежата", насочена срещу интернет престъпления срещу деца. Не че тази престъпност не заслужава огромно внимание и превенция от страна на антимафиотите, но да се оголва интернет фронтът на самото ведомство, както в случая с атаката от деня на изборите, е направо смешно.
Докато хората на Явор Колев си блъскат главите в разследването на хакер инвазията, спецове по интернет сигурност вече са на мнение, че атаката идва от т.нар. ботнет-мрежи. Те представляват съвкупност от заразени компютри, разпространяващи "троянски коне, червеи, злонамерен софтуер и др.". Както сочи сайтът www.cybercrime.bg" на сектора на Явор Колев, най-често ботнетите се контролират дистанционно от ботмастери. Ботът обикновено се стартира в невидим за нормалните потребители режим и те несъзнателно стават част от ботнета.
По ирония на съдбата МВР е станало жертва на една от четирите причини за зомбиране на компютрите там, посочени от самия сектор за компютърни престъпления в ГДБОП. А те са:
- Недостатъчна компютърна образованост;
- Липса на качествен антивирусен софтуер;
- Нередовен ъпдейт на антивирусния софтуер;
- Нередовно сканиране на ползваната система за злонамерен софтуер.
Каквото и обяснение да дадат от вътрешното ведомство, очевидно е, че са изостанали с десетилетия в областта на киберсигурността. Този факт е особено обезпокоителен на прага на създаването на новото държавно предприятие "Административни и електронни услуги". Както е известно вече, то ще поеме цялата досегашна дейност на МВР по различни административни услуги за гражданите, сред които и издаването на документи за самоличност. А това е специфична дейност, която задължава МВР да се съобразява с най-модерните защити на ID, на микрочиповете, съдържащи лична информация за приносителя, и т.н. Ако компютърната система на МВР се окаже неприспособена и беззащитна към атаките на хакери, това означава, че личните данни на милиони българи могат незабелязано да "изтекат" чрез ботнетите към неизвестни престъпни групи. И тогава България, за която и сега много често се коментира по различни поводи, че няма такава държава, ще престане да съществува и виртуално.
Топ 10 на ботнет мрежи в САЩ и Европа
1: Zeus
Троянският кон Zeus използва технологията key-logging, с която краде имена, пароли, номера на акаунти и номера на кредитни карти. Също така той създава фалшиви HTML (Hypertext Markup Language) форми за логин и по този начин се добира до най-различни типове информация.
2: Koobface
Този злонамерен софтуер се разпространява чрез социалните мрежи MySpace и FaceBook с фалшиви съобщения и коментари от "приятели". Когато един потребител се подлъже да натисне върху предоставената връзка, за да види най-често видеото, получава съобщение, че трябва да обнови своите кодеци. Това обаче не са кодеци, а злонамерен софтуер, получава контрола върху компютъра ви.
3: TidServ
Този троянски кон се разпространява чрез спам e-mail съобщения и най-често пристига като прикачен файл. Стартира определени процеси на компютъра и в повечето случаи изтрива голяма част от файловете и променя регистрите.
4: Trojan.Fakeavalert
Ботнетът, основно занимавал се със спам, се е пренасочил към атаки със злонамерен софтуер и по-конкретно фалшиви аларми за изтичащи лицензии на антивирусни програми.
5: TR/Dldr.Agent.JKH
Този дистанционно управляем троянски кон връща информация към командния домейн, като получава периодично инструкции. Обикновено зареден чрез друг злонамерен софтуер, той се използва като кликбот за генериране на рекламни кликове за своя ботмастер.
6: Monkif
Акцентът на този crimeware e изтеглянето на BHO (Browser Helper Object) върху системата на заразения.
7: Hamweq
Още е познат като IRCBrute или автоматично стартиращ се червей. Той се самокопира върху системата и всички външни носители (флаш памети и други) и стартира автоматично. Hamweq променя регистрите и заразява Explorer.exe. Ботмастерът, който го използва, може да изпълнява команди и да получава информация от заразената система.
8: Swizzor
Този троянски кон може да сваля и изпълнява файлове от интернет върху заразената система без знанието на потребителя.
9: Gammima
Познат е още като Gamina, Gamania, Frethog, Vaklik и Krap. Той се фокусира в кражбата на акаунти за онлайн игри. Разпространява се чрез интернет, флаш памети и др. Известен е като червея, проникнал в международната космическа станция през лятото на 2008 година.
10: Conficker
Наричан още Downadup, този червей се е разпространил значително по целия свят. Той се използва основно, за да свали друг злонамерен софтуер.
За да са по-далеч от ботнет мрежите, сектор "Компютърни престъпления" в ГДБОП съветва интернет потребителите да следят редовно секциите на сайта www.cybercrime.bg.
Помощ, PC-то ми е зомби!
Експерти по киберсигурност разкриват кои са признаците, че компютърът е заразен и е част от ботнет мрежа. Според тях по-малко застрашени са Mac-компютрите. Windows- машините обаче са мишена на почти всички ботнетове. За да се разпознаят признаците на зомбиране, трябва да се внимава – ако някоя интернет връзка изглежда необяснимо бавна, когато сте онлайн, причината може да е ботнет инфекция, която използва тази връзка, за да изпраща или получава данни. Ако това се случи, веднага сърфирането трябва да се спре и да се затвори имейл агентът. В случая е добре да се смени програмата за защита. Например RUBotted сканира компютъра за подозрителна активност и редовно прави проверка с една онлайн услуга, за да идентифицира поведение, свързано с мрежи от ботове. При откриване на потенциална зараза RUBotted подканя потребителя да сканира и изчисти компютъра. А BotHunter представлява пасивно средство за наблюдение на входящ и изходящ трафик в мрежата. Той е предназначен да разпознае комуникационните модели на инфектираните със зловреден код компютри в периметъра на мрежата на потребителя. Безплатният скенер Windows Live OneCare предоставя информация за онлайн заплахите, дава отговори относно здравето и безопасността на компютъра, предоставя инструменти в помощ на защитата, оптимизацията и подобряване на сигурността на компютъра, информират спецовете по киберсигурност.
Дебне и мобилна ботнет мрежа
Смартфоните също се обединяват в "зомби" мрежи. Според антивирусната компания Kaspersky Lab заразата иде с ботнета RootSmart, който получава достъп до някои от функциите на "умните" телефони. Заразените устройства могат да получават дистанционно и да изпълняват команди от C&C-сървъра (управляващия компютър). Лицата, контролиращи ботнет мрежата, могат да задават например честотата и периода за изпращане на скъпоструващи SMS-и, както и кратки номера, на които ще бъдат изпращани кратките текстови съобщения.
