На 50-е сутки беспрерывной DDoS атаки на серверы сайта Кавказ-Центр ФСБ де-факто признала, что именно она стоит за кибер-террористической акцией.
Дело в том, что в среду 25 июля «Ростелеком» заблокировал для доступа с территории России целую подсеть провайдера КЦ Vistnet (www.vistnet.com). В этой подсети находятся несколько IP адресов, используемых Кавказ-Центром.
Vistnet является одним из крупнейших провайдеров Европы, работающий в области анти-DOS сервиса, и его услугами пользуются многие клиенты в России, в основном бизнес-компании, и западные бизнес-представительства в РФ.
Таким образом, несмотря на то, что главной целью блокировки подсети Vistnet является Кавказ-Центр, первыми жертвами ФСБ стали российские и зарубежные клиенты «Ростелекома», которые теперь лишены доступа к сети интернет.
Общее количество IP адресов попавших в «черный список» «Ростелекома» составляет около 200 IP.
Не вызывает никаких сомнений, что приказ блокировать подсеть был спущен Лубянкой после того, как почти двухмесячные усилия ФСБ задосить КЦ не принесли результата.
«Ростелеком» пошел на этот беспрецедентный шаг, несмотря на опасность своей дискредитации и потери репутации. Негативный паблисити «Ростелекома», безусловно, заставит многих серьезных клиентов пересмотреть свои отношение с этой компанией, которая, как выяснилось, находится под полным контролем ФСБ.
Напомним, что массированная DDoS атака на КЦ началась 6 июня 2012 года. На некоторое время Кавказ-Центр оказался фактически блокированным и не был доступен в сети. Только около 30% читателей КЦ имели доступ к сайту.
После того, как КЦ приобрел услугу Vistnet, доступ к сайту был полностью восстановлен. Однако это лишь разозлило Лубянку.
В ночь на субботу 14 июля уровень syn flood атаки поднялся до 8.5 млн. пакетов в секунду.
При этом зеркало сервера КЦ подвергалась DDoS в 2 млн. пакетов.
Во второй половине дня уровень атаки резко возрос. Сетевой штурм Кавказ-Центра усилился до 18 млн. запросов в секунду. Этот уровень держался примерно 30 минут.
После того, как стало ясно, что провайдер спокойно фильтрует этот трафик, произошел резкий скачок и атакующие ударили по серверу КЦ пакетной syn flood атакой в 45.69 млн. запросов в секунду. Одновременно продолжился штурм зеркала Кавказ-Центра на уровне 2 млн.
Таким образом, общий уровень одновременной DDoS атаки на серверы КЦ составили 47.69 млн. пакетов в секунду. При этом скорость была поднята до 25 гигабит в секунду.
Это огромные цифры.
Укажем в этой связи, что мы не нашли в истории DDoS с момента обнаружения уязвимости интернета IP4 для подобного рода атак, чтобы уровень DDoS достигал таких цифр. Это, безусловно, первый подобный прецедент в истории современных кибервойн.
Любопытна и тактика, которая, как теперь выяснилось, была использована ФСБ.
Лубянка использовали тактику «обрушения», т.е. атаковала неожиданно, резко и мощно, всеми имеющимися силами, чтобы нарушить работу уже самого провайдера и его сетевую инфраструктуру. Сначала 18 млн. в течение получаса и затем резкий скачок до 45.69 млн. Беспрецедентный вал syn flood продолжался 25 минут.
В течение нескольких дней уровень атаки варьировался от 1 млн 500 тысяч до 37 млн. пакетов.
Через некоторое время, поняв, что сервер КЦ заблокировать не удается, ФСБ стала атаковать саму сеть Vistnet, пытаясь дестабилизировать её и навредить другим клиентам компании.
Возможно, таким образом, Лубянка рассчитывала на то, что заблокированный DDoS атакой провайдер откажется от обслуживания Кавказ-Центра.
Укажем в этой связи, что атака до сих пор все ещё продолжается.
Любопытно, что мировые СМИ, в том числе кавказские и российские, практически полностью игнорируют происходящее кибер-сражение между спецслужбами России и Кавказ-Центром. А ведь на самом деле то, что сейчас происходит, коснется очень многих как на Западе, так и в России.
Первыми жертвами этой войны уже стали клиенты «Ростелекома». И это только начало.
Отдел мониторинга
Кавказ-Центр