Неизвестные совершили кибератаку на сайт Group-IB в тот же день, когда основателя и гендиректора компании Илью Сачкова задержали по делу о госизмене, а в их офисе прошли обыски. Об этом сообщает Group-IB в телеграм-канале.
По данным компании, DDoS-атака была зафиксирована 28 сентября в период с 15:55 по 16:19. Атака на сайт произошла из-за множественных запросов разных типов — «как на L7-уровне, так и на L3/L4 (UDP-flood, IP-flood, SYN-flood)». Их максимальное число превышало 14 тысяч в течение двух минут, а скорость атаки достигала 370 Гбит/с. Работу сайта компании нарушить не удалось.
Скриншот / телеграм-канал Group-IB
Компании удалось выяснить, что IP-адреса, от которых исходили запросы, ранее были внесены в их базу данных в качестве ботнет-прокси и хостинг-провайдеров. Ботнетом называют сеть значительного количества устройств, зараженных вредоносным ПО и подключенных к интернету. Они могут маскироваться под обычных пользователей.
В пресс-службе Group-IB рассказали «Новой газете», что множественные запросы на сайт приходили из разных стран мира, преимущественно — из Индонезии, Бразилии, России, Индии и Китая. Из тех же стран, помимо Китая, атаковали и сайт «Новой» в день выборов 19 сентября. Только в случае с «Новой» атаки шли около 12 часов, а ботнет пытался отправить до 1,2 миллиона запросов на сайт в секунду.
«Командный центр DDoS атаки установить не удалось, поэтому нельзя сказать, что наш сайт атаковали те же акторы, что и сайт IT-компании», — сообщил технический директор «Новой» Артемий Гарин. —
«Но они очень похожи по странам устройств. Можно утверждать, что третья волна атаки на наше издание была именно такая, какая прошла на сайт Group-IB».
Ранее 29 сентября Лефортовский суд Москвы на два месяца отправил в СИЗО основателя Group-IB Илью Сачкова. Он стал фигурантом дела о госизмене (ст. 275 УК) и находится в статусе подозреваемого. По версии следствия, Сачков работал на иностранные спецслужбы и передавал им данные, составляющие гостайну в области кибербезопасности. Сегодня утром стало известно об обысках в штаб-квартире компании Group-IB в Москве.
В Group-IB заявили, что не считают основателя компании Илью Сачкова виновным в госизмене. Новым руководителем назначен сооснователь компании Дмитрий Волков.
35-летний предприниматель Сачков основал Group-IB в 2003 году как группу по расследованию IT-инцидентов. Сейчас его компания считается одним из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети.
Group-IB сотрудничает с Интерполом, Европолом и ОБСЕ, оказывает помощь российским спецслужбам и правоохранительным органам в операциях против хакерских группировок. В начале сентября компания занялась расследованием атак на сайт The Bell, в результате которых пользователям отправили фейковую рассылку с пропагандистскими призывами.
Сайт «Новой», атакованный похожим образом, что и сайт Group-IB, перестал отвечать на запросы пользователей из-за серии мощных DDoS-атак в единый день голосования 19 сентября. Проблемы с доступом на сайт начались в 14:45 по Москве и продолжались до 3:00 следующего дня. Атаки прошли в четыре волны, на ходу меняя свои типы. Редакция предполагает, что против «Новой газеты» мог быть применен ботнет нового типа, сил которого достаточно, чтобы угрожать инфраструктуре страны.
В начале сентября российская компания «Яндекс» подверглась «крупнейшей за свою историю» DDoS-атаке. В компании пояснили, что источником атак стал новый ботнет Mēris, информации о котором пока что немного.
