Читаем Я – хакер! Хроника потерянного поколения полностью

• UDP[44]-flood’ом — атакуемый IP-адрес просто забрасывался UDP.

• TCP-flood’ом — бот подключался по протоколу TCP к заданному порту и слал туда мусорный пакет.

Бот работал на уровне ядра ОС, и реализовать GET-запросы по HTTPS[45], по которым функционировало уже достаточно много сайтов, было проблематично. Нужно было тянуть большие библиотеки для работы с шифрованием, не предназначенные в принципе для разработки под ядро ОС. Поэтому для атаки HTTPS-сайтов и был добавлен TCP-flood.

Тогда мы не задумывались о последствиях. Перед нашими глазами была картинка светлого будущего. Minzdrav, приносящий сотни тысяч долларов в месяц. Возможность жить в Таиланде. Покупка своей недвижимости. И всё это спонсировал ChronoPay. Что будет, если мы откажемся? Нас задвинут на второй план или вообще забудут?

В то время веб-интерфейса для DDoS не было, задачи модуль загружал напрямую из базы MySQL. Веб-интерфейс управления атакой мы сделали парой недель позже.

Деньги на загрузки нам дали. Я запустил UDP-flood, то есть боты стали забрасывать целевой IP-адрес, а, соответственно, и канал сервера, бессмысленными UDP-пакетами разного размера, вытесняя оттуда весь легитимный трафик. На удивление, канал у платежного шлюза Assist’а оказался всего в 10 Мбит, и лег тут же.

Полторы недели Assist увеличивал пропускную способность канала и пытался отфильтровать атаку, привлёк Лабораторию Касперского на помощь. Я несколько раз менял UDP-flood на TCP-flood и обратно, пока Kaspersky пытался отбить атаку. Через полторы недели Kaspersky все-таки смог это сделать окончательно.

У платежного шлюза Assist было несколько входных точек: secure.assist.ru, secure1.assist.ru, secure2.assist.ru и т. д. Когда Assist стал бороться с атакой, они распределили клиентов по разным входным шлюзам, а сами входные шлюзы — по разным серверам. Держать все под DDoS у нас не хватало мощности. Поэтому на второй-третий день возник вопрос.

— Мы не можем держать все их шлюзы под DDoS. Что конкретно класть? — спросил я Scraft.

— Сейчас уточню у Red… Кладите тот, на котором висит «Аэрофлот».

В результате нашей атаки «Аэрофлот» полторы недели не мог принимать оплату за авиабилеты на своем сайте. Периодически не работала оплата Google AdWords и другие клиенты Assist’а.

В четверг днем на сайт платежной системы Assist началась DDoS-атака, из-за которой платежный шлюз по адресам secure0.assist.ru и secure.assist.ru не работает уже четвертый день. Постоянно падает и основной сайт www.assist.ru.

Данный платежный шлюз используется для покупки билетов через сайт «Аэрофлота» — так что уже возникли проблемы с платежами. Стоит также отметить, что на сайте «Аэрофлота» нет предупреждения о проблеме, поэтому пользователи сначала долго заполняют форму на билет, и только потом выясняют, что оплатить невозможно.

Как сообщили специалисты из службы техподдержки, система ASSIST подверглась DDOS-атаке. В связи с этим на данный момент оплаты затруднены. Специалисты компании ASSIST делают все возможное, чтобы как можно скорее восстановить работоспособность системы.

О проблемах с оплатой через пластиковые карты также предупредили пользователей в проекте Free-lance.ru. В данном предупреждении говорится, что атака началась в четверг 15 июля с 15:00.

Источник: https://www.securitylab.ru/news/395892.php * * *

После успешной атаки мы стали чаще общаться с Red’ом, а он стал больше рассказывать о своей войне с Desp’ом:

— Мы слили базу Glavmed за $50 000, — похвастался он мне.

— А дай посмотреть.

— Конечно, сейчас попрошу, чтобы скинули.

Так мы получили базу Glavmed’а. Для нас же наибольший интерес представляли мыла из таблицы продаж. Их там было около полумиллиона. Находились ящики покупателей в основном на крупных сервисах, таких как Yahoo, Gmail, AOL. Так просто не получится проспамить[46] эти адреса. Такие крупные сервисы очень хорошо фильтруют нежелательную почту — используют всевозможные блэклисты.

У меня возникла идея добавить в ботнет возможность точечной рассылки по фарма-базам, отбирая ботов по чистоте их IP-адреса, то есть рассылать с «белых» IP-адресов. Такую рассылку называли OptIn. Проверять IP-адреса я решил по zen.spamhaus.org. Блэклист ZEN объединяет в себе сразу несколько блэклистов: SBL (IP-адреса хостов, с которых рассылается спам), CSS (часть SBL), XBL (IP-адреса зараженных хостов), PBL (адреса, которые не должны рассылать электронную почту напрямую).

Как оказалось, таких «белых» IP из всего онлайна оказалось один-два процента. С 60 тысячами онлайна мы имели всего около 1000 «белых» ботов. Только доставка (успешная отправка) с таких ботов выросла на порядки. В первый день теста рассылки «Виагры» по базе Glavmed’а мы сделали более 100 продаж на Spampromo. А за первый месяц мы заработали $150 000 своей реферальной комиссии, что составляло 40 % от оборота.

Это была победа! Заработать $7000 за день. Наконец-то!