Kibernetines atakas prieš DELFI pradėję programišiai nesiliauja pulti, todėl į gynybą žengė telekomunikacijų bendrovė „Teo“, kuriai priklauso svetainių talpinimo paslaugas teikianti bendrovė „Hostex“. „Teo“ Rizikų valdymo skyriaus direktorius Vytautas Bučinskas teigia, kad atakos buvo tokia stiprios, jog net ir „Teo“ įranga buvo pasiekusi kritines ribas.
Kibernetines atakas prieš DELFI pradėję programišiai nesiliauja pulti, todėl į gynybą žengė telekomunikacijų bendrovė „Teo“, kuriai priklauso svetainių talpinimo paslaugas teikianti bendrovė „Hostex“. „Teo“ Rizikų valdymo skyriaus direktorius Vytautas Bučinskas teigia, kad atakos buvo tokia stiprios, jog net ir „Teo“ įranga buvo pasiekusi kritines ribas.
Jo teigimu, kai kuriais atvejais užklausų skaičius per kelias minutes siekdavo po 50 milijonų, duomenų srautas buvo pasiekęs net 6 gigabitus per sekundę.
„Perėmėme valdymą į „Teo“ rankas ir nuolat griežtinome apsaugos laiptelius. 28 dieną atakos masteliai pasiekė jau 6 gigabitus per sekundę. Tai reiškia, kad buvo manoma paveikti visą hostinimo paslaugos struktūrą“, – Seimo Informacinės visuomenės plėtros komitete trečiadienį kalbėjo V. Bučinskas.
„Mūsų įranga buvo pasiekusi kritines ribas, ne tiek gigabitais, bet užklausų kiekiu. Vienu metu mes nustatėme, kad per kelias minutes buvo apie 50 mln. užklausų“, – pridūrė „Teo“ atstovas.
Jo teigimu, nuo atakų norint apsisaugoti visai Lietuvai, mūsų šalyje reikėtų turėti zondus, kurie „matytų“, kas vyksta Lietuvoje bei specialios technikos. Tam esą prireiktų nuo 5 mln. litų iki 20 mln. litų. „5–20 mln. litų išspręstų šią problemą 2–3 metams“, – sakė V. Bučinskas.
Portalo DELFI, kuris atakas patiria nuo gegužės 22 dienos, IT skyriaus vadovas Kristijonas Šiaulys teigia, kad jeigu atakos masteliai siektų bent 7–8 gigabitus per sekundę, problemų su internetu turėtų visa Lietuva.
Dauguma užkrėstų kompiuterių – Rusijoje, Baltarusijoje, Ukrainoje
Trečiadienį Informacinės visuomenės plėtros komitete buvo svarstyta, kaip apsisaugoti nuo kibernetinių atakų, kurios tapo itin aktualios, kai su jomis susidūrė ne tik portalas DELFI, bet ir svetainių talpinimo paslaugas teikianti bendrovė „Hostex“. Kaip žinoma, įmonės vadovas Pranas Slušnys įvertino, jog tokia ataka užsakovams jau turėjo kainuoti apie 345 tūkst. litų.
Ryšių reguliavimo tarnybos Tinklų ir informacijos saugumo departamento Saugumo incidentų skyriaus (CERT-LT) vyriausiasis specialistas Sigitas Jurkevičius posėdyje nupasakojo visą atakos prieš DELFI ir „Hostex“ eigą.
Jo teigimu, iš pradžių portalas gavo laišką su grasinimu, o po valandos prasidėjo kibernetinė ataka iš užsienyje esančių apkrėstų kompiuterių. Pasak S. Jurkevičiaus, iš viso pavyko nustatyti apie 1000 unikalių IP adresų, iš kurių buvo puolamas portalas. Dauguma IP adresų veda į Rusiją, Baltarusiją, Ukrainą, nors užkrėstų kompiuterių, iš kurių pultas portalas, buvo iš viso 60-yje šalių.
„Pirmoje fazėje ataka buvo nukreipta prieš web paslaugą. Ji buvo vykdoma iš užsienio valstybėms priklausančių apkrėstų kompiuterių. Jie yra užvaldyti, įjungti į botnetą ir kažkas iš kontrolinio centro tiems užvaldytiems kompiuteriams duoda komandas, ką atakuoti. Dėl to pasipylė labai didelis užklausų kiekis į serverį, kuris nesugebėjo aptarnauti tiek užklausų ir praktiškai nustojo veikti. Užklausų buvo iš labai didelio kiekio kompiuterių, mums pavyko aptikti iki 1000 unikalių IP adresų.
Kas įdomu, nebuvo nė vieno lietuviško IP adreso. Buvo gerai pasiruošta. Atakoje dalyvavo kompiuteriai su IP adresais iš Baltarusijos, Rusijos, Ukrainos – žodžiu, Rytų bloko šalių“, – pasakojo specialistas.
Portalas laikinai apsisaugojo užverdamas užsienio srautą, tačiau dėl to DELFI kurį laiką buvo neprieinamas užsienio vartotojams. Taip pat buvo įdiegtos portalo tarnybines stotis pasiekiančias užklausas filtruojanti įranga. Tačiau gegužės 23 dieną atakuotojai pakeitė taktiką, ėmė atakuoti svetainių talpinimo paslaugas teikiančią bendrovę „Hostex“. Šiai bendrovei pagelbėjo ją nusipirkusi bendrovė „Teo“, panaudojusi ugniasienę, kuri nukirto atakuotojų srautą.
Pasak S. Jurkevičiaus, gegužės 24 dieną buvo tikrinama, kaip vyksta gynyba – bandymai trukdavo apie valandą. Tačiau bėda ta, kad bendrovei „Teo“ ėmus sunkinti gynybos arsenalą, nebeliko galimybių fiksuoti, kas atakuoja ir iš kur.
„Teo“ ugniasienė dirba sunkiu režimu. Galvojome, kad iš ten pavyks gauti informacijos, bet ji yra su išjungtu loginimu, kadangi srauto kiekis buvo daugiau gigabitas per sekundę. Dėl to ji nesaugo informacijos, kodėl ir ką užblokuoja. Ugniasienė yra juoda dėžė su įėjimu ir išėjimu, kuri nupjauna pašalinį srautą pagal tam tikrus požymius“, – pasakojo RRT specialistas.
Gali sutrikti pirmininkavimas ES?
„Teo“ Rizikų valdymo skyriaus vadovas V. Bučinskas pasakojo, kad kai „Teo“ perėmė gynybą, teko nuolat griežtinti apsaugos laiptelius, o gegužės 28 dieną atakos masteliai pasiekė 6 gigabitus per sekundę.
„Gegužės 28 dieną pakeitėme gynybą iš „nustatyk, kas puola, iš kur ir tada blokuok“. Tas jau nepasiteisino, mes jau nebespėjom. Praeina valanda, dvi, sustabdomas servisas, todėl perėjome į gynybą, kuri vadinasi „blokuok viską ir praleisk tik žinomus“. Tačiau kai kurie kiti klientai, kurie yra tuose serveriuose, šiek tiek nukenčia, nes jų negali pasiekti iš Rusijos ir kitur“, – pasakojo V. Bučinskas.
Telekomunikacijų bendrovė „Teo“ taip pat yra laimėjusi konkursą tiekti interneto paslaugą Lietuvos pirmininkavimo Europos Sąjungos Tarybai metu. „Teo“ atstovas V. Bučinskas teigia, kad bendrovė gali apsaugoti nuo atakų, tačiau jeigu pirmininkavimo metu prasidėtų dar didesnės kibernetinės atakos nei dabar, gali kilti problemų.
„Noriu atkreipti dėmesį, kad „Teo“ visa tai daro dėl savo klientų, tam nėra nei jokių įpareigojimų, nei kas nors iš klientų pirko tokias paslaugas. Darome tik dėl to, kad klientai veiktų. Panaudojome perteklinę įrangą, kokią turėjome. Dabar dėl pirmininkavimo, „Teo“ laimėjo konkursą infrastruktūros teikimui, bet ten reikalavimų saugumui nebuvo. Aš pats įkūriau grupę, pasiruošėme pirmininkavimui su esamais resursais“, – pasakojo „Teo“ atstovas.
„Jeigu pirmininkavimo metu būtų ataka prieš visą Lietuvą – kitose šalyse esame matę ir 100 gigabitų – tai tokios įrangos apsaugojimui nėra. Bet tai šalies saugumo klausimas, o ne vieno ar kito privataus verslo klausimas“, – pridūrė V. Bučinskas. Apie Lietuvos pirmininkavimą užsiminė Seimo narys Gediminas Kirkilas, kuris susidomėjo, kaip tai gali atsiliepti šiuo mūsų šaliai svarbiu laikotarpiu bei kas paskatino tokias atakas.
„Mes galime tik spekuliuoti. Sprendžiant iš to, ką teigia specialistai, tai yra rusiškas braižas. Specialistai remiasi 2007 m. įvykiais Estijoje Bronzinio kario skandalo metu. Tada nukentėjo ir DELFI, ir kiti portalai, buvo sutrikusios elementariausios funkcijos, žmonės net degalų negalėjo įsipilti. Tas pačias atakas stebėjome 2008 m. Rusijos-Gruzijos karo metu. Turbūt čia galėtų daugiau pakomentuoti specialiosios tarnybos.
Artėja Lietuvos pirmininkavimas, o DELFI turi sėkmingai veikiančią ir populiarią versiją rusų kalba, kuri skaitoma užsienio šalyse. Galbūt kažkam nelabai patinka, kaip ten žiūrima į tam tikrus dalykus? Tačiau tai tik pamąstymai“, – savo pastebėjimus komiteto posėdyje vardijo DELFI vyriausioji redaktorė Monika Garbačiauskaitė-Budrienė.
Praėjusią savaitę prieš naujienų portalą DELFI pradėtos vykdyti kibernetinės atakos, kurios nesiliovė iki šiol. Atakos tipas informacinių technologijų terminais įvardijamas kaip DDoS. Jos pobūdis yra toks, kad interneto svetainę vienu metu užplūsta daug į tinklą sujungtų kompiuterių, kurie nori prisijungti ir taip blokuoja kelią kitiems vartotojams.
Policija dėl šio išpuolio pradėjo ikiteisminį tyrimą. Portalas taip pat kreipėsi į Ryšių reguliavimo tarnybą dėl galimybės ateityje užkirsti kelią panašioms atakoms.
