Джонатан Розен
Киберзлоумышленники использовали услуги технологических компаний, базирующихся в США и Великобритании, для кибератак на медиа-сайты из Сомали, Косово и Туркменистана, сообщила во вторник некоммерческая организация Qurium, размещающая эти сайты. Ранее в этом месяце КЗЖ сообщал о том, как кибернападавшие использовали компанию RayoByte из Небраски в попытках уничтожить те же медиа-сайты, а также как минимум три других сайта – в Нигерии, Кыргызстане и на Филиппинах.
Полученные данные дают новое понимание того, как злоумышленники используют частные компании для подавления онлайн-репортажей по всему миру.
В новом отчете Qurium говорится, что услуги американских компаний phoenixNAP и Aliat Data, а также британской компании IPXO использовались для осуществления кибератак на сайты СМИ в августе этого года. Эти сайты принадлежат прессозащитной организации Синдикат сомалийских журналистов, а также посвященному Туркменистану и управляемому из изгнания сайту Turkmen.news и сайту Nacionale в Косово. Все три издания ранее сталкивались с цензурой, их пытались запугать, арестовывали их сотрудников, применяли физическое насилие и подвергали онлайн-преследованию.
В августе эти три средства массовой информации подверглись распределенным атакам типа «отказ в обслуживании» (DDoS), когда интернет-трафик намеренно направляется на веб-сайт, чтобы вывести его из строя. Трафик, использованный в атаках, исходил с адресов интернет-протокола (IP) — уникальных номеров, присвоенных устройствам, подключенным к интернету.
Хотя пока непонятно, кто заказал эти атаки, технический директор Qurium Торд Лундстрём сообщил КЗЖ, что его группа смогла выяснить, как услуги британских и американских компаний использовались в попытках уничтожить СМИ. Aliat Data арендовала у IPXO тысячи IP-адресов; затем эти IP-адреса были перенаправлены через серверы в центре обработки данных phoenixNAP в Эшберне, штат Вирджиния, чтобы атаковать сайты. Qurium смогла защититься от атак, поэтому сайты СМИ остались доступными.
Ответ компаний
Qurium связалась со всеми тремя компаниями, чтобы предупредить их о DDoS-атаках. Aliat Data – компания, которая управляла IP-адресами во время инцидентов, – заявила, что она не проводила кибератаки. В электронном письме от Густаво Коломбини, который работает над инфраструктурой в Aliat Data, говорится, что компания «не осуществляет атаки такого типа». Коломбини обвинил в атаках «проблемы безопасности, которые могут привести к злоупотреблению этими IP-адресами со стороны внешних субъектов», и заявил, что Aliat Data занимается устранением проблем.
«[Мы] в основном обслуживали тщательно отобранных клиентов», — написал Коломбини Qurium. По его словам, злоумышленников установить не удалось, поскольку у Aliat Data «никогда не было хорошего механизма мониторинга». Коломбини также добавил: «Вероятно, ни один из наших клиентов не предпринимал никаких атак».
В ответ на электронное письмо КЗЖ с просьбой об интервью Коломбини повторил, что Aliat Data не проводила атаки. «Ключевая часть нашей инфраструктуры подверглась злоупотреблениям со стороны внешних сил, и проблема была решена, как только мы ее диагностировали. Мы работаем над улучшением наших механизмов безопасности, в том числе и над улучшением мониторинга», — написал Коломбини.
IPXO – компания, сдавшая IP-адреса в аренду Aliat Data, – заявила, что ее клиент предоставляет услуги по «web-scraping» или парсингу — распространенному методу исследования. После того, как Qurium предупредила компанию об атаках, она «приостановила» работу клиента, имя которого не стала раскрывать, на время продолжающегося «расследования инцидента». Компания не предоставила никаких подробностей о приостановке.
phoenixNAP, чьи серверы использовались для направления трафика при атаке, сказала Qurium, что «ответственный за инцидент клиент» сообщил компании, что «все это было вызвано неправильной конфигурацией одного из клиентов». phoenixNAP также не назвала имя клиента, заявив: «[если] этого не потребуют правоохранительные органы, мы не можем раскрывать информацию о наших клиентах, поскольку это будет нарушением контракта…». Она также добавила: «мы не терпим злоупотребления в сети».
По состоянию на середину сентября онлайн–датабазы показали, что Aliat Data по-прежнему управляет IP-адресами серверов phoenixNAP.
КЗЖ отправил электронные письма в IPXO и phoenixNAP с просьбой об интервью, но не получил ответа.
О компаниях
И IPXO, и phoenixNAP предлагают на своих веб-сайтах разнообразные продукты и услуги. IPXO, базирующаяся в Лондоне, позиционирует себя как «первый в мире рынок IP» и продает доступ к IP-адресам, включая краткосрочную аренду. Компания phoenixNAP со штаб-квартирой в Аризоне имеет 15 центров обработки данных по всему миру, а в 2012 году приобрела еще одну компьютерную компанию под названием Secured Servers. Она продает информационные технологии и вычислительные услуги, включая маршрутизацию интернет-трафика.
Веб-сайт Aliat Data, с другой стороны, предлагает мало информации о своем бизнесе, но рекламирует услуги proxy и data scraping, которые могут использоваться для облегчения менее четко отслеживаемого интернет-трафика и проведения массового сбора информации в интернете. На сайте указан адрес компании Aliat LLC в Лас-Вегасе, но записи штата Вайоминг показывают, что компания Aliat LLC зарегистрирована через фирму Registered Agents Inc.
Представитель службы поддержки клиентов Registered Agents Inc. сообщил КЗЖ по телефону, что является зарегистрированным агентом тысяч других компаний и не может предоставить какую-либо «значительную информацию о руководстве [Aliat LLC]». Представитель заявил, что компания Registered Agents Inc. получает и передает государственную почту и судебные иски своим компаниям и не может делиться никакой информацией об этих компаниях без разрешения.
В прошлогоднем отчете Международного консорциума журналистов-расследователей (ICIJ) и газеты Washington Post подробно описано, как преступники могут использовать малоконтролируемые коммерческие организации, чтобы избежать проверки. В своих репортажах они упомянули компанию Registered Agents Inc. Представитель Registered Agents Inc. о тех репортажах осведомлен не был.
Защита от нападений
Анализ IP-адресов, используемых для атак на сайты, выявил закономерность, которая усложняла защиту от них. Qurium обнаружила, что использованные в атаках IP-адреса в течение многих лет и месяцев до этого перенаправлялись через различные локации, первоначально скрывая тот факт, что они исходили из центра обработки данных phoenixNAP в Эшберне, штат Вирджиния. По словам Лундстрёма, Qurium стало сложнее защищать веб-сайты от вредоносного трафика.
«Нет закономерностей, повсюду просто шум. Видишь разные страны, не знаешь, настоящие ли это читатели [новостей]», — сказал он.
IP-адреса, арендованные Aliat Data и участвовавшие в атаках, не затрагивали эти три сайта с конца августа, сообщил Лундстрём КЗЖ. Но открытыми остаются вопросы об ответственности и тех, кто стоит за этими атаками на независимые СМИ. «В этом сила DDoS, — сказал он. – Они никогда не сопровождаются подписью».