Джонатан Розен
Кибератака на Синдикат сомалийских журналистов (SJS) произошла в самый неудачный момент. Распределенная атака типа «отказ в обслуживании», известная под аббревиатурой DDoS, в начале августа уничтожила веб-сайт местной группы по защите свободы прессы. Несколько дней спустя власти арестовали сотрудника SJS и редактора телеканала «Кааб» Мохамеда Ибрагима Османа Бюльбюля в связи с его репортажами о коррупции. Кризисы, произошедшие одновременно, стали серьезным ударом для организации.
«Это была очень тяжелая неделя. С бессонными ночами. Очень напряженная. Мы не смогли опубликовать наше заявление, первое заявление о задержании Мохамеда», — сказал КЗЖ генеральный секретарь SJS Абдалле Ахмед Мумин в интервью из Великобритании, куда он бежал в начале этого года после того, как его неоднократно арестовывали сомалийские власти. «Представьте, что кто-то нападает на вашу команду, задерживает одного из членов вашей команды, а вы не можете сообщить об этом международному сообществу, потому что ваш веб-сайт уничтожен».
SJS почувствовал некоторое облегчение, когда связался с Qurium – шведской некоммерческой организацией, которая начала предлагать хостинг веб-сайту SJS. Но через неделю после первой атаки на сайт обрушилось новое DDoS-нападение. На этот раз Qurium смогла защитить SJS от отключения. Анализ этих новых атак, проведенный Qurium, также показал, что инструменты, использованные в атаке, были предоставлены американской компанией RayoByte.
Компания Sprious, владеющая RayoByte, сообщила Qurium в электронном письме, которое просмотрел КЗЖ, что она «удалила пользователя-злоупотребителя» из своей сети и добавила сайт SJS в свой «черный список», чтобы предотвратить дальнейшее преследование.
SJS — не единственное новостное издание, подвергшееся DDoS-атаке с использованием сервисов RayoByte. Согласно анализу Qurium, новостные агентства как минимум из пяти других стран — Косово, Нигерии, Кыргызстана, Филиппин и Туркменистана — столкнулись с аналогичными атаками за последние два года. Эти инциденты дают редкую возможность взглянуть на механизмы онлайн-цензуры и на то, как частные корпорации могут получить от этого прибыль.
Sprious отказалась давать интервью КЗЖ и не ответила на вопросы, отправленные ей письменно. Но в заявлении, отправленном КЗЖ по электронной почте, Sprious заявила, что она «глубоко обеспокоена» сообщениями о том, что ее услуги «предположительно» использовались в DDoS-атаках. «Мы решительно выступаем против любой формы онлайн-преследований или вреда, включая кибератаки, особенно когда это касается организаций, которые играют решающую роль в продвижении свободы прессы и безопасности журналистов», — говорится в заявлении.
Компания RayoByte, ранее известная как Blazing SEO, со штаб-квартирой в Линкольне, штат Небраска, является одной из многих компаний, которые продают клиентам доступ к адресам интернет-протокола (IP) — уникальным номерам, присвоенным устройствам, подключенным к интернету, — для «scraping» или парсинга — метода извлечения больших объемов данных с веб-сайтов. На веб-сайте RayoByte указан диапазон цен на доступ к IP-адресам в зависимости от переменных, включая тип и скорость.
Один из способов парсинга — отправлять повторные запросы на посещение сайта с разными IP-адресами. Журналисты и исследователи используют парсинг в качестве метода исследования, но когда IP-запросы быстро и массово направляются к конкретному сайту с целью перегрузить его и отключить от сети, это представляет собой DDoS-атаку.
КЗЖ задокументировал DDoS-атаки на СМИ, ведущие важную журналистскую деятельность по всему миру. Эти кибератаки часто происходят наряду с другими угрозами безопасности журналистов и свободе прессы.
Анализ Qurium показывает, что 18 и 19 августа он заблокировал доступ к веб-сайту SJS почти 20 000 IP-адресов с миллионами запросов. Большая часть трафика (почти 50%) пришла через RayoByte и ее хостинг-партнеров, говорится в анализе. Вторая половина трафика пришла через несколько других онлайн-каналов, включая виртуальные частные сети (VPN).
«Мы весьма успешно предотвратили атаку, потому что буквально через несколько часов мы поняли, что и раньше видели подобный тип трафика», — сказал КЗЖ технический директор Qurium Торд Лундстрём. «Мы уже сталкивались с этой [атакующей] инфраструктурой в прошлом… эта инфраструктура — не шутка».
Подобные DDoS-атаки начались почти сразу после того, как в марте 2022 года базирующийся в Косово новостной сайт Nacionale начал публиковать материалы, освещающие местную политику и социальные вопросы, сообщил КЗЖ в недавнем телефонном интервью соучредитель издания Висар Арифай. «Наш сайт довольно часто не работал. Поскольку мы еще были новичками на новостном рынке, это действительно негативно влияло на размер нашей аудитории», — сказал Арифай. «Для нас неработающий пару часов в течение дня веб-сайт был огромной потерей».
Qurium начала размещать и защищать Nacionale в сентябре 2022 года, а в марте и апреле 2023 года Qurium уведомила Sprious о том, что злоумышленники использовали услуги этой компании против издания.
В своих электронных письмах в марте Qurium сообщала компании Sprious об атаках, продолжавшихся по «несколько часов без перерыва». По словам Qurium, в результате одной из атак были получены миллионы веб-запросов с IP-адресов, «публично рекламируемых Rayobyte/BlazingSEO». Sprious ответила, что внесла в «черный список» доступ к веб-сайту Nacionale и запретила ответственному «пользователю», имя которого Sprious не назвала, получать доступ к услугам компании, однако в апреле Qurium снова отследила DDoS-атаку на Nacionale с участием RayoByte. В ответ на электронное письмо Qurium об апрельской атаке Sprious заявила, что «обнаружила проблему» со своими «элементами управления безопасностью» и устранила ее, «чтобы предотвратить дальнейший трафик».
Однако интернет-трафик, направляемый на сайт Nacionale из RayoByte, не прекратился и был использован в DDoS-атаках на это издание в июле и августе, сообщил Лундстрём КЗЖ. В то время как полиция Косово арестовала и привлекла к ответственности одного человека в связи с кибератаками, а Qurium успешно предотвратила продолжающиеся атаки, направленные на уничтожение веб-сайта издания Nacionale, Лундстрём сообщил КЗЖ, что входящий трафик показывает, что злоумышленники продолжают использовать IP-адреса, полученные из комбинации прокси-сервисов, VPN и других источников.
Помимо кибератак, сотрудники Nacionale подвергались «постоянным» онлайн-преследованиям за свою работу, а недавно стали объектом и физического нападения на работе, хотя нападавшие были арестованы, сообщил Арифай КЗЖ. «Это постоянное давление, даже когда оно не доходит до журналистов физически и напрямую, видно, что оно очень сильно способствует их выгоранию», — добавил он. «Это действительно тяжело, и сказывается морально на всех».
С 2022 года Qurium дополнительно отслеживает DDoS-атаки с использованием IP-адресов, полученных от RayoByte, против четырех других изданий: Peoples Gazette из Нигерии, Kloop из Кыргызстана, Bulatlat из Филиппин и Turkmen.news – издания, освещающего события в Туркменистане из изгнания. Атаки на три из четырех этих СМИ, за исключением Kloop, также включали трафик через VPN.
В своих заявлениях для КЗЖ компания Sprious заявила, что расследует сообщения о DDoS-атаках с использованием своих услуг и предпринимает «соответствующие действия с конечным пользователем, который, по нашему мнению, несет ответственность» и «шаги по решению выявленных проблем, включая, помимо прочего, занесение в черный список связанные со злоупотребителем домены» и усердно работает «над удалением пользователей-злоупотребителей». В заявлениях не было прямых ответов на вопросы КЗЖ о клиентах, ответственных за эти атаки, и о том, как компания реагировала в каждом случае.
Лундстрём сообщил КЗЖ, что Sprious еще не ответила на электронные письма Qurium, касающиеся атак на Peoples Gazette, Kloop, Bulatlat и Turkmen.news, а также на дополнительные атаки на Nacionale в июле и августе.
Прокси и VPN имеют действенное и важное применение для обеспечения конфиденциальности пользователей интернета, в том числе журналистов. Правозащитные организации, включая КЗЖ, рекомендуют использовать VPN для защиты от слежки; отдельные лица могут использовать их, чтобы избежать онлайн-цензуры государственных структур, а компании используют их для защиты конфиденциальной информации. Но Лундстрём назвал использование прокси-серверов и VPN-сервисов для проведения DDoS-атак «вооружением» этих инструментов. «Вы прячетесь в инструменте, [созданом] для другой цели», — сказал он о нападавших. «Я думаю, что это стратегическое решение».
«DDoS-атаки незаконны в соответствии с Законом США о компьютерном мошенничестве и злоупотреблениях», — сказал КЗЖ Гейб Роттман, директор проекта «Технологии и свобода прессы» в американской организации Комитет за свободу прессы, который оказывает юридическую поддержку журналистам. Но он добавил, что не обязательно является нарушением закона, если прокси-компания или VPN-компания предоставляет услуги, которые затем используются в DDoS-атаках.
Это не означает, что сервис-провайдеры не могут принять никаких мер. «Вы можете заставить провайдеров технологий предпринимать соответствующие действия для защиты своих пользователей и других лиц, одновременно создавая свои услуги таким образом, чтобы защитить конфиденциальность», — сказал Роттман. «Если… вам станет известно о злоумышленниках, совершающих плохие поступки, сообщите об этом властям, запретите им пользоваться вашими услугами и уменьшите ущерб».
Атаки на веб-сайт SJS продолжаются, сообщил Лундстрём КЗЖ, хотя ни один из IP-адресов не пришел через RayoByte с тех пор, как Qurium и КЗЖ связались с компанией Sprious для получения комментариев. Тем не менее Лундстрём хочет, чтобы руководство RayoByte сделало больше для решения той проблемы, что злоумышленники неоднократно обращались к услугам компании, чтобы атаковать медиа-сайты. «[RayoByte] зарабатывает большие деньги», — сказал он. «А нам приходится делать всю эту дополнительную работу и строить новую инфраструктуру, чтобы справиться со всем этим дерьмом».
Что касается SJS, Абдалле по-прежнему беспокоится о своем коллеге, который все еще находится за решеткой. Но он говорит, что уверен, что веб-сайт группы по свободе прессы останется доступным. Он до сих пор не знает личности человека или людей, совершивших кибератаку, но представляет, о чем они думают: «Теперь они воочию видят, они сталкиваются в новой реальностью, в которой даже после атаки SJS все еще устойчив. SJS все еще активен. SJS по-прежнему доступен и способен эффективно работать как онлайн, так и физически на территории Сомали».
От редакции: имя и должность технического директора Qurium Торда Лундстрёма были добавлены в 11-й абзац.