Европол провёл масштабную операцию против нелегальных сервисов DDoS-атак по заказу, в результате которой был нанесён серьёзный удар по рынку так называемых "бутеров" - площадок, позволяющих любому желающему за деньги обрушить чужой сайт или сервер. Кампания получила название PowerOFF и объединила усилия правоохранительных органов из 21 страны.
В рамках этой операции силовикам удалось парализовать работу десятков онлайн-платформ, специализировавшихся на продаже услуг по проведению распределённых атак типа "отказ в обслуживании" (DDoS). По данным Европола, этими сервисами пользовались около 75 тысяч человек по всему миру, а всего в изъятых базах обнаружена информация более чем о 3 миллионах учётных записей пользователей.
В ходе координированных действий было произведено четыре ареста предполагаемых организаторов и ключевых операторов таких сервисов. Кроме того, правоохранительные органы заблокировали 53 доменных имени, под которыми функционировали сайты с платными DDoS-услугами, и выдали 25 ордеров на обыск, направленных на изъятие серверов, оборудования и документации, связанной с работой этих платформ.
В операции участвовали правоохранительные ведомства Австралии, Австрии, Бельгии, Бразилии, Болгарии, Дании, Эстонии, Финляндии, Германии, Японии, Латвии, Литвы, Люксембурга, Нидерландов, Норвегии, Польши, Португалии, Швеции, Таиланда, Великобритании и США. Такой широкий состав участников подчёркивает, что борьба с DDoS-услугами по заказу уже давно вышла за рамки национальных юрисдикций и требует глобального ответа.
Одним из ключевых элементов кампании PowerOFF стали так называемые "спринты" - целевые интенсивные этапы, в рамках которых национальные специалисты по кибербезопасности и следственные органы проводили скоординированные операции против наиболее активных и опасных пользователей и операторов платных DDoS-платформ. Во время таких спринтов силовики фокусировались на выделенных группах, отслеживали их активность, идентифицировали инфраструктуру и проводили точечные задержания и обыски.
Основной удар был направлен по инфраструктуре так называемых "бутеров" (booter) или "стрессеров" (stresser) - онлайн-сервисов, маскирующихся под инструменты для тестирования устойчивости сайтов, но фактически предлагающих любой пользователю возможность за небольшую плату запустить DDoS-атаку на выбранную цель. Техническая основа таких сервисов включает в себя сеть серверов, базы данных с учётными записями клиентов и логами атак, панели управления, а также механизмы обработки и маршрутизации трафика.
Изъятие серверов и баз данных позволило специалистам Европола получить доступ к крупному массиву информации. По словам ведомства, только по результатам текущей фазы операции в распоряжении следователей оказались данные более чем о 3 миллионах аккаунтов. Это открывает возможности как для дальнейших расследований, так и для адресной профилактики: многих пользователей подобных сервисов в ряде стран уже начали уведомлять о возможной уголовной ответственности за участие в атаках.
Кампания PowerOFF при этом не ограничивается только силовыми действиями. Европол делает ставку и на профилактику, а также на снижение видимости нелегальных сервисов в интернете. В рамках операции реализуется комплексная информационно-техническая стратегия, направленная на то, чтобы усложнить поиск и доступ к ресурсам, торгующим DDoS-услугами.
Один из элементов этой стратегии - таргетированная реклама и специальные уведомления в поисковых системах. При попытке найти инструменты или сервисы для проведения DDoS-атак пользователи вместо ссылок на нелегальные площадки могут видеть предупреждающие сообщения о противозаконности подобных действий и потенциальных последствиях. Параллельно ведётся работа по удалению из поисковой выдачи адресов, которые ранее активно продвигали платные DDoS-услуги. На текущий момент, по данным Европола, из результатов поиска уже исключено более 100 URL-адресов, связанных с такими сервисами.
Ещё одно направление - воздействие на платёжную инфраструктуру киберпреступников. В ряде случаев оплата за услуги "бутеров" осуществляется с использованием криптовалюты. В рамках PowerOFF правоохранители направляют предупредительные сообщения в блокчейны и связанные экосистемы, сигнализируя о том, что конкретные платёжные потоки и адреса связаны с противоправной деятельностью. Это не только осложняет отмывание средств, но и снижает доверие к подобным схемам у потенциальных клиентов.
Также обновляется и поддерживается специальный информационный ресурс, посвящённый операции, где публикуются разъяснения для пользователей, бизнесов и технических специалистов о том, что такое DDoS-атаки, какие риски несёт использование нелегальных сервисов и как защититься от подобных угроз. Такой подход должен укрепить осведомлённость и сформировать чёткое понимание, что "покупка атаки по заказу" - это не безобидная шалость, а преступление.
Европол подчёркивает, что рынок DDoS-услуг по модели "киберпреступность как сервис" (crime-as-a-service) за последние годы стал чрезвычайно доступным. Запустить атаку на сайт конкурента, неугодную организацию или даже учебное заведение сегодня может человек без каких-либо технических навыков - достаточно зарегистрироваться на "бутере", пополнить баланс и выбрать тип атаки. Стоимость подобных "услуг" зачастую исчисляется несколькими евро, а ущерб для жертвы может достигать миллионов.
С точки зрения бизнеса DDoS-атаки означают простои сервисов, срывы онлайн-продаж, потерю клиентов и репутационные риски. Для государственных учреждений и критической инфраструктуры это может вылиться в недоступность важных онлайн-сервисов, задержку оказания услуг населению и подрыв доверия к цифровым каналам взаимодействия. Поэтому борьба с индустрией заказных атак становится приоритетом не только для силовиков, но и для регуляторов, отвечающих за устойчивость цифровой экономики.
Стоит учитывать, что многие операторы "бутеров" пытаются легализоваться, прикрываясь легендой о предоставлении "стресс-тестов" для сетевой инфраструктуры. Формально они заявляют, что их сервис предназначен для проверки собственной защиты от DDoS, а пользователи якобы обязуются не применять его против чужих ресурсов. На практике же подавляющее большинство атак направлено на сторонние цели без их согласия. Расследования показывают, что операторы прекрасно осведомлены о реальном характере активности своих клиентов, но продолжают извлекать прибыль, пока не оказываются в поле зрения правоохранительных органов.
Важным аспектом операции PowerOFF стало и давление на самых активных пользователей этих платформ. В ряде стран проводятся обыски и допросы не только у операторов, но и у тех, кто массово заказывал DDoS-атаки. В отношении некоторых фигурантов возбуждаются уголовные дела, другим выносятся официальные предупреждения. Такая тактика направлена на разрушение мифа о безнаказанности: даже если человек не организует сервис, а "просто купил атаку", он может понести ответственность наравне с исполнителями.
Для компаний и организаций, потенциально уязвимых к DDoS-атакам, выводы из этой операции довольно очевидны. Во‑первых, спрос на подобные нелегальные услуги высок, а значит, риск стать целью атаки сохраняется. Во‑вторых, международное давление на рынок "бутеров" будет расти, что может временно снизить интенсивность атак, но не устранит угрозу полностью: часть сервисов уйдёт в даркнет, часть будет маскироваться ещё изощрённее. Поэтому вопросам защиты от отказа в обслуживании стоит уделять системное внимание - от использования специализированных анти-DDoS‑решений до построения отказоустойчивой архитектуры и регулярного тестирования планов реагирования на инциденты.
Операция PowerOFF - не первый совместный удар Европола и партнёров по инфраструктуре киберпреступников. Ранее ведомство вместе с ФБР и рядом национальных служб уже провело резонансную операцию по закрытию хакерского форума LeakBase. Тогда была изъята вся инфраструктура площадки, на которой злоумышленники обменивались инструментами для взлома, продавали украденные базы данных и предлагали услуги по компрометации систем. В той кампании участвовали правоохранительные органы из 14 стран, что демонстрирует нарастающий тренд к транснациональному сотрудничеству в сфере кибербезопасности.
Суммарно эти операции показывают, что правоохранительные органы переходят от точечных арестов отдельных хакеров к системному демонтажу целых экосистем киберпреступности. На прицеле оказываются не только сами атаки, но и инфраструктура, финансовые потоки, каналы коммуникаций и рекламные площадки. Параллельно активизируется профилактическая работа и информационные кампании, направленные на снижение спроса и формирование у пользователей осознания реальной уголовной и экономической цены "удобных" нелегальных сервисов.
По мере развития кампании PowerOFF можно ожидать новых задержаний, блокировок доменов и изъятий серверов. Однако ключевым результатом для правоохранителей, по всей видимости, станет не только статистика арестов, но и стратегический эффект: рост стоимости и рисков для тех, кто решит заняться бизнесом на продаже DDoS-атак, и уменьшение числа тех, кто будет готов такие услуги покупать.
