Громада Приірпіння

Ботнет атаки на сайт громади тривали увесь лютий. “Громада Приірпіння” перебуває під захистом Deflect. Цей звіт містить інформацію про атаки незалежного новинного ресурсу Приірпіння (Україна), зокрема у перші два тижні лютого 2016 року.

Для того, щоб покласти сайт, використовувались кілька методів атак. Ці атаки не були результативними.

“Громада Приірпіння” – медіаплатформа, яка існує з 2010 року. Створена місцевими журналістами та громадськими активістами після того, як місцева влада роздерибанила Біличанський ліс. Сайт розміщує місцеві новини, політичні огляди й проводить антикорупційні розслідування. Під захист програми Deflect сайт потрапив наприкінці 2014 року. ( Атаки розпочалися під час виборчого періоду до ВРУ, коли кандидувався екс-регіонал Анатолій Федорук – чинний міський голова Бучі – прим. ред.)

Сайт ведеться українською мовою. За день вебсайт отримує 80 – 120 тисяч хітів з України, Нідерландів та США.

Профайл атаки

Атаки розпочалися 1 грудня. Зростання “хітів” проти вебсайту зафіксували з В’єтнаму. Можливо, це була пробна атака. Вона не була успішною. 6 лютого понад 1 мільйон 300 тисяч “хітів” були зафіксовані протягом одного дня.

Наша система захисту від ДДОС-атак заблокувала кілька ботнетів (мережі зламаних комп’ютерів), найбільша з яких включала 500 зламаних комп’ютерів. Ми використали інструмент ‘Timelion’, щоб виявити аномалії в мережі, подібні до ДДОС атак, можна побачити значне відхилення відсередньої кліькості переглядів  сайту (на діаграмі нижче, хіти відображені червоним, тоді як синійколір показує рухоме середнє значення за 7 днів плюс 3 стандартні відхилення, жовті прямокутники позначають аномалії).

Той факт, що відхилення від норми тривало протягом тижня (з 1 до 8 лютого)  вказує на те, що атаки відбувалися кілька разів. Цей звіт покликаний з’ясувати чи окремо взяті атаки пов’язані між собою і відобразити характеристику атак. Ми також прагнемо з’ясувати причини атак та їхнє походження.

Профайл атаки за 6 лютого

Ця атака тривала 1 годину 11 хвилин. Це була найбільш масована атака за весь період якщо брати кількість хітів за хвилину.

Статистика інциденту

Ось статистика, яку ми отримали з нашої deflect-labs system.

Дані показують, що інтенсивність атаки та тип атаки (GET/POST/Wordpress/other), targeted URLs, як і number of GEOIP та IP information related to the attaker(s):

• client_request host:”www.kotsubynske.com.ua”
• хіти від 24000 і до 72000 за хвилину
• Загальна кількість хітів протягом періоду атаки: 1643581
• Атака розпочалася: 2016-02-06 13:34:00
• Атака закінчилася: 2016-02-06 14:45:00
• Тип атаки: GET атака (боти запитують сторінку з сайту)
• Цільова URL: www. kotsubynske. com.ua
• Першочерговий запит: “http://kotsubynske.com.ua/-”

Більша кількість “хітів” надходила з В’єтнаму, України, Індії, Кореї, Бразилії, Пакистану.

Herewith are the stats for the top five countries starting with the most counts and descending: geoip.country_name Count Vietnam 817,602 Ukraine 216,216 India 121,405 Romania 70,697 Pakistan 61,201

Перехресний аналіз інцидентів

Ми досліджували 3 місяці атаки на сайті «Громада Приірпіння» – з січня по березень. У нас зафіксовано 5 випадків з 1 по 8 лютого. Ми порівнювали дані для того, щоб зрозуміти, чи ці атаки є пов’язаними. Це може допомогти зрозуміти, хто стоїть за цими атаками й що між ними спільного. Наприклад ми бачимо, що відносно незначна кількість ІР-ардес з’являється більше, ніж раз, але кожен інцидент має схожий розмір ботнету та шаблон атаки.

Таблиця 1. Вдалося визначити ідентичні IPs у випадках всіх атак.

Taблиця 2. Спільні ІР-адреси зустрічалися у таких парах випадків. Вони були заблоковані системою Deflect.

Тут ми порівнюємо всі випадки між собою парами, перевіряючи наявність спільних ІР і показуємо результати.

Аналіз 5 атак показує, що лише кілька ІР адрес із ботнету були застосовані повторно у подальшому. Наявність будь-якого ІР зі списку повторюваних може вказувати на те, що вони належать до підмережі, яка є частиною єдиного ботнету, або свідчить про те, що одні й ті ж комп’ютери інфіковані різними вірусами. Більше того, дані з геоІР (визначення місцезнаходження) і поведінка усіх ботнетів майже ідентична.

Наприклад, тоді як трафік протягом цього періоду виглядав нормально, як за кількістю відвідувачів так і за їхньою геолокацією, заблоковані ІРбули в основному з В’єтнаму, Індії, Пакистану та інших країн, що зазвичай не переглядають kotsubynske.com.ua . Це надійний показник зловмисного трафіку і міжнародного ботнету.

• 71.1% заблокованих ІР з В’єтнаму, Індії, Ірану, Пакистану, Індонезії, Саудівської Аравії, Філіппін, Мексики, Туреччини та Південної Кореї.
• 99.9% забанених ІР мали ідентичний рядок агента користувача: “Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)”
• У середньому кількість хітів з цих ІР була: 61.9 хітів/хв у порівнянні з 4.5 хітів/хв для всіх інших ІР.

Цей рядок агента користувача видається ідентичним у всіх 5 випадках при порівнянні заблокованого та дозволеного трафіку.

На діаграмі внизу помаранчевим позначено ідентичні рядки агентів користувача тоді як синім показані ІР з іншими агентами користувача. Забарвлені прямокутники містять 50 % ІР в середині кожної множини, а лінії в середині прямокутників показують медіани.

Не дивлячись на те, що ідентичних ІР ботнетів у всіх5 випадках не так багато, поведінка багатьох ботнетів в різних випадках дуже схожа. Ілюстрація, що подана нижче, показує деякі характеристики ботнетів (різними кольорами) у порівнянні зі звичайним трафіком (синій коріл).

Точкова діаграма сесій у тривімірному просторі:

• Дисперсія інтервалу між запитами
• Кількість помилок
• Співвідношення завантаженого тексту до завантажень зображень

Висновки звіту

2 лютого “Громада Приірпіння” оприлюднила статтю селищної голови Коцюбинського Ольги Матюшиної із зверненням до депутатів “Нових облич”,  а також новину про протистояння громади за збереження парку “Дружба” у місті Ірпені, де міським головою обрано керівника партії “Нові обличчя”. Атаки на сайт почалися одразу.

Якщо порівнювати атаки, які ми спостерігаємо в мережі Deflect, ці атаки не були ані сильними, ані витонченими.

Ми припускаємо, що той, хто контролював ботнет атаку використовував просто різні доступні йому IPs, щоб уникнути блокування. Те, що в усіх п’яти випадках були використані ідентичні рядки агенту користувача і однакові схеми атаки , вказує на їх організацію одним користувачем.

Це перший звіт Deflect Labs initiative.

Наша мета викорінити безкарність для організаторів ботнетів й допомогти нашим клієнтам доносити інформацію до членів територіальної громади.

“eQualit.ie” – канадійська технологія. Ми колективно працюємо над тим, щоб захистити права людей в Інтернеті.