В России наступил день выборов. А вместе с ним DDoS-атаки и фальсификации.
Давление до выборов
Силовые меры по отношению к информационным площадкам начали применяться за несколько дней до выборов. Как часть кампании против Карты нарушений на выборах [1] DDoS-атакам подверглись Живой Журнал, Ассоциация по мониторингу выборов «Голос», а также КартаНарушений.рф. Эти сайты функционировали до поздней ночи 3 декабря 2011 г., но в день выборов 4 декабря их защита была взломана.
2 декабря был арестован редактор Besttoday.ru (сайт, посвященный агрегированию блог-постов, твитов и других гражданских медиа) Алексей Сочнев. Полиция ворвалась к нему без предписания суда, арестовала Сочнева, также являющегося представителем избирательного штаба Эдуарда Лимонова, и обыскала его квартиру. 11 декабря Лимонов планировал объявить о своем решении участвовать в президентских выборах. Вместе с Сочневым было арестовано и несколько других людей: Николай Авдюшенков, Андрей Горин, Нина Силина и Мария Зинченко. Всем им вменяется статья 282 [2] УК РФ. Глава Besttoday.ru Марина Литвинович написала в Твиттере [3], что полиция также обыскала квартиру главного программиста вебсайта.
Поздней ночью 3 декабря глава ассоциации “Голос” Лилия Шибанова была задержана [4] в московском аэропорту Шереметьево. Сотрудники пограничной службы не выпускали Шибанову на протяжении 12 часов – до тех пор, пока она не согласилась отдать свой ноутбук, который, по подозрениям, содержал «опасное программное обеспечение». Пользователи Твиттера рекомендовали немедленно сменить все пароли и ожидать появление содержания почтовой переписки Шибановой на одном из сайтов с «утечками».
Атакам подверглись не только независимые информационные порталы. Вебсайт прокремлевского журналиста Сергея Минаева был взломан [5], а его контент удален. Сайт Kommersant.ru был взломан, а первая страница изменена [6].
День DDoS
Оказалось, что все это было лишь подготовкой к массивным DDoS-атакам на все платформы, стремившимся предоставить независимое освещение выборов.
Друг за другом они уходили в небытие. По блогосфере прокатилась волна запросов с трафиком более 10 гигабит в секунду:
- В 18:50 1 декабря (здесь и далее время московское) началась атака на питерскую версию Новой Газеты, lenizdat.ru и zaks.ru (популярный в Санкт-Петербурге политический портал). Все три вебсайта перестали функционировать [7] 2 декабря в 14:00. Zaks.ru был перемещен на специальный блог [8] Эха Санкт-Петербурга.
- 23:18 3 декабря – сообщено об атаках на KartaNarusheniy.ru и Golos.org. В день выборов Карта нарушений была не доступна. «Голос» выгрузил свои материала в таблицы Google [9], которые постоянно обновлялись.
- Около полуночи 3 декабря было сообщено [10] об атаке на Русскую Службу Новостей и полном прекращении работы сайта.
- В 02:57 4 декабря атаке подвергся [11] популярный в Туле портал pryaniki.org. Пряники переместились в Живой Журнал [12] и Твиттер [13].
- В 06:40 4 декабря недоступным [14] стал сайт радиостанции Эхо Москвы (echo.msk.ru). Эхо дублировало свой контент через GoogleDocs [15], Google+ [16] и специальный временный блог [17] на хостинге также подвергшейся DDoS-атаке Новой Газеты. Важно заметить, что после предыдущих атак [18] [анг] Новая Газета установила достаточно хорошую систему безопасности и была способна предоставить виртуальное убежище для другого издания.
- В 11:05 4 декабря Живой Журнал стал временно недоступным для российских пользователей.
- В 12:05 4 декабря поступило сообщение [14] о недоступности сайтов Slon.ru, Ridus.ru, Большой Город (bg.ru), ikso.org (избирательная комиссия Свердловской области), Golos.org и NewTimes.ru. Будучи недоступным, Slon.ru использовал Storify.com для отслеживания хода выборов. Ridus.ru снова стал доступным примерно в 16:08. Отчет [19] журналистки Slon.ru Златы Николаевой появился на главной странице сайта Storify.com.
- В 12:21 4 декабря было сообщено [20] об атаке на Kreml.tv, который после этого перешел в базовый режим.
- 15:00 4 декабря – сайт новосибирского отделения КПРФ kprfnsk.ru начал испытывать проблемы с доступом [21].
Волна DDoS-атак прекратилась за несколько минут до окончания выборов в центральной полосе России (где проживает большинство голосующих):
- 19:43 – возобновил работу bg.ru
- 19:50 – прекратилась [22] атака на kreml.tv
- 21:18 – сайт echo.msk.ru начал функционировать [23]
Журналист Эха Москвы Владимир Варфоломеев написал [23]:
А вот и сайт Эха вроде заработал. Сразу после окончания выборов. Конечно, это совпадение, правда, Владислав Юрьевич?
Директор компании Group IB, специализирующейся на информационной безопасности, Ильи Сачкова описал [24] природу атак на сайт Эха Москвы:
Атака ведется с крупного ботнета, рассредоточенного по всему миру – множество атакующих компьютеров находятся на территории США, Китая и других стран. Российских IP-адресов мало. Мы также фиксируем нечто похожее на атаку в адрес “Голоса”, но здесь преимущественно российские IP-адреса и адреса стран ближнего зарубежья.
Заглушая “Голос”
Преследование “Голоса” и Газеты.Ru не закончилось с окончанием дня выборов.
4 декабря главный редактор Газеты.Ru (медиа-партнер Карты нарушений выборов) Михаил Котов был приглашен [25] в Роскомнадзор для беседы, во время которой издание Газета.Ru было обвинено [26] в нарушении правил предвыборной агитации и предвзятом отношении к партии “Единая Россия”.
Днем, чтобы запутать читателей, был запущен фейковый Твиттер-аккаунт @goIos_org. В 19:47 пользователь Твиттер @deniskin сообщил о спаме по хештэгам #охотанажуликов [27] и #наблюдатель [28], которые использовались для координирования работы наблюдателей за выборами.