Виділіть її та натисніть Ctrl + Enter —
ми виправимo
Хто і чому атакує «Громаду Приірпіння»: маєш право знати
“Громада Приірпіння” – медіаплатформа, яка існує з 2010 року. Створена місцевими журналістами та громадськими активістами після того, як місцева влада роздерибанила Біличанський ліс. Сайт розміщує місцеві новини, політичні огляди й проводить антикорупційні розслідування. Під захист програми Deflect сайт потрапив наприкінці 2014 року. ( Атаки розпочалися під час виборчого періоду до ВРУ, коли кандидувався екс-регіонал Анатолій Федорук – чинний міський голова Бучі – прим. ред.)
Сайт ведеться українською мовою. За день вебсайт отримує 80 – 120 тисяч хітів з України, Нідерландів та США.
Профайл атаки
Атаки розпочалися 1 грудня. Зростання “хітів” проти вебсайту зафіксували з В’єтнаму. Можливо, це була пробна атака. Вона не була успішною. 6 лютого понад 1 мільйон 300 тисяч “хітів” були зафіксовані протягом одного дня.
Наша система захисту від ДДОС-атак заблокувала кілька ботнетів (мережі зламаних комп’ютерів), найбільша з яких включала 500 зламаних комп’ютерів. Ми використали інструмент ‘Timelion’, щоб виявити аномалії в мережі, подібні до ДДОС атак, можна побачити значне відхилення відсередньої кліькості переглядів сайту (на діаграмі нижче, хіти відображені червоним, тоді як синійколірпоказує рухоме середнє значення за 7 днів плюс 3 стандартні відхилення, жовті прямокутники позначають аномалії).
Той факт, що відхилення від норми тривало протягом тижня (з 1 до 8 лютого) вказує на те, що атаки відбувалися кілька разів. Цей звіт покликаний з’ясувати чи окремо взяті атаки пов’язані між собою і відобразити характеристику атак. Ми також прагнемо з’ясувати причини атак та їхнє походження.
Профайл атаки за 6 лютого
Ця атака тривала 1 годину 11 хвилин. Це була найбільш масована атака за весь період якщо брати кількість хітів за хвилину.
Статистика інциденту
Ось статистика, яку ми отримали з нашої deflect-labs system.
Дані показують, що інтенсивність атаки та тип атаки (GET/POST/Wordpress/other), targeted URLs, як і number of GEOIP та IP information related to the attaker(s):
-client_request host:”www.kotsubynske.com.ua”
-хіти від 24000 і до 72000 за хвилину
-Загальна кількість хітів протягом періоду атаки: 1643581
-Атака розпочалася: 2016-02-06 13:34:00
-Атака закінчилася: 2016-02-06 14:45:00
-Тип атаки: GET атака (боти запитують сторінку з сайту)
-Цільова URL: www. kotsubynske. com.ua
-Першочерговий запит: “http://www.kotsubynske.com.ua/-”
Більша кількість “хітів” надходила з В’єтнаму, України, Індії, Кореї, Бразилії, Пакистану.
Herewith are the stats for the top five countries starting with the most counts and descending: geoip.country_name Count Vietnam 817,602 Ukraine 216,216 India 121,405 Romania 70,697 Pakistan 61,201
Перехресний аналіз інцидентів
Ми досліджували 3 місяці атаки на сайті «Громада Приірпіння» – з січня по березень. У нас зафіксовано 5 випадків з 1 по 8 лютого. Ми порівнювали дані для того, щоб зрозуміти, чи ці атаки є пов’язаними. Це може допомогти зрозуміти, хто стоїть за цими атаками й що між ними спільного. Наприклад ми бачимо, що відносно незначна кількість ІР-ардес з’являється більше, ніж раз, але кожен інцидент має схожий розмір ботнету та шаблон атаки.
Таблиця 1. Вдалося визначити ідентичні IPs у випадках всіх атак.
Taблиця 2. Спільні ІР-адреси зустрічалися у таких парах випадків. Вони були заблоковані системою Deflect.
Тут ми порівнюємо всі випадки між собою парами, перевіряючи наявність спільних ІР і показуємо результати.
Аналіз 5 атак показує, що лише кілька ІР адрес із ботнету були застосовані повторно у подальшому. Наявність будь-якого ІР зі списку повторюваних може вказувати на те, що вони належать до підмережі, яка є частиною єдиного ботнету, або свідчить про те, що одні й ті ж комп’ютери інфіковані різними вірусами. Більше того, дані з геоІР (визначення місцезнаходження) і поведінка усіх ботнетів майже ідентична.
Наприклад, тоді як трафік протягом цього періоду виглядав нормально, як за кількістю відвідувачів так і за їхньою геолокацією, заблоковані ІРбули в основному з В’єтнаму, Індії, Пакистану та інших країн, що зазвичай не переглядають kotsubynske.com.ua . Це надійний показник зловмисного трафіку і міжнародного ботнету.
-71.1% заблокованих ІР з В’єтнаму, Індії, Ірану, Пакистану, Індонезії, Саудівської Аравії, Філіппін, Мексики, Туреччини та Південної Кореї.
-99.9% забанених ІР мали ідентичний рядок агента користувача: “Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)”
-У середньому кількість хітів з цих ІР була: 61.9 хітів/хв у порівнянні з 4.5 хітів/хв для всіх інших ІР.
Цей рядок агента користувача видається ідентичним у всіх 5 випадках при порівнянні заблокованого та дозволеного трафіку.
На діаграмі внизу помаранчевим позначено ідентичні рядки агентів користувача тоді як синім показані ІР з іншими агентами користувача. Забарвлені прямокутники містять 50 % ІР в середині кожної множини, а лінії в середині прямокутників показують медіани.
Не дивлячись на те, що ідентичних ІР ботнетів у всіх5 випадках не так багато, поведінка багатьох ботнетів в різних випадках дуже схожа. Ілюстрація, що подана нижче, показує деякі характеристики ботнетів (різними кольорами) у порівнянні зі звичайним трафіком (синій коріл).
Точкова діаграма сесій у тривімірному просторі:
-Дисперсія інтервалу між запитами
-Кількість помилок
-Співвідношення завантаженого тексту до завантажень зображень
Висновки звіту
2 лютого “Громада Приірпіння” оприлюднила статтю селищної голови Коцюбинського Ольги Матюшиної із зверненням до депутатів “Нових облич”, а також новину про протистояння громадиза збереження парку “Дружба” у місті Ірпені, де міським головою обрано керівника партії “Нові обличчя”. Атаки на сайт почалися одразу.
Якщо порівнювати атаки, які ми спостерігаємо в мережі Deflect, ці атаки не були ані сильними, ані витонченими.
Ми припускаємо, що той, хто контролював ботнет атаку використовував просто різні доступні йому IPs, щоб уникнути блокування. Те, що в усіх п’яти випадках були використані ідентичні рядки агенту користувача і однакові схеми атаки , вказує на їх організацію одним користувачем.
Це перший звіт Deflect Labs initiative.
Наша мета викорінити безкарність для організаторів ботнетів й допомогти нашим клієнтам доносити інформацію до членів територіальної громади.
“eQualit.ie” – канадійська технологія. Ми колективно працюємо над тим, щоб захистити права людей в Інтернеті.