Кибертерор с такава продължителност, с такива методи и с толкова мащабни ресурси не е известно да е извършван досега над българска онлайн медия
Кой плаща за 4 месеца политическо преследване
Четвърти пореден месец сайтът на вестник „Труд” - trud.bg, е подложен на всекидневен кибертерор, невиждан в България по мащаб, безпрецедентен по продължителност и по целенасоченост.
Трудно е да се пресметне точната сума, която е платена за 4-месечния кибертерор над медията „Труд”, но по най-скептични сметки на над десет експерти по мрежова сигурност, тя е надхвърлила един милион долара и продължава да расте.
Нивото на сложност и продължителността на атаката е безпрецедентно за нашата държава. Мащабът на ударите срещу “Труд” далеч надхвърлят финансовите и технически възможности на наемници в киберпространството, а е по силите и възможностите единствено на специалните служби, според експерти по киберсигурност.
Тези услуги не се предлагат просто така на черния пазар, според нашите експерти. Те са внимателно изработени специално за сървърната архитектура на trud.bg.
В тъмния интернет такива услуги могат да се купят от хакери за стотина долара, обясни пред „Труд” през декември експертът по кибер сигурност Явор Колев. Тази цена е за атака от броени минути, а според запознати тарифата за 10 минути скача на 200 долара.
Това е цена за задръстване с нежелан трафик на един интернет канал (наета линия). Сайтът на „Труд разполага с няколко такива, които са наводнявани всекидневно за по няколко часа със стотици милиони заявки едновременно. DDoS атаки, идващи от бот мрежи, препълват цялото интернет трасе към нашите сървъри и спират достъпа на читателите.
Атаките са толкова мощни, че задръстват глобалния трафик на интернет доставчиците на „Труд”, които в резултат изпитват затруднения да обслужват останалите си клиенти.
Освен тези атаки, през последния месец терористите прибягват до хибридни и комбинирани методи, при които се манипулира кеш сървърът и логин страницата за регистрирани потребители.
Анализът на атаките ясно показва политическата поръчка, която те изпълняват. Пикът им следва остри критични публикации за действията на президента Радев и прононсираното от него служебно правителство, както и фалшивите новини в обслужващите ги медии.
Масираните кибер удари започнаха през октомври 2021-а, когато тръгна и предизборната кампания за последните парламентарни избори. Атаките често съвпадаха с публикуването на разкрития за определени кандидати и техните формации. Особено активни бяха терористите след публикуване на материали по кампанията на президента Радев.
Критични авторски материали, които се четат от все повече хора - това стои в основата на възхода на trud.bg, който опитват да спрат хакерските атаки. Освен, че е сред основните критици на настоящите управляващи и предшестващите ги служебни правителства, trud.bg е и най-бързоразвиващата се онлайн медия у нас в последните години.
Статистиката показва, че през октомври 2018 г. сайтът е имал 228 082 потребители. А през октомври 2021 г., когато започнаха масираните атаки - 1 088 550 читатели. През ноември м. г. trud.bg достигна до 1,2 млн. реални потребители и кибертерорът се ожесточи.
През декември масираните атаки съвпаднаха с изгонването на „Труд” от помещенията в сграда на Министерството на културата, в която се работеше под наем, получени след проведен законен търг и без медията да има неплатени задължения. Един от най-продължителните удари срещу сайта беше на 6 декември - в деня на гонението на вестника от редакцията му.
Оттогава сайтът е атакуван средно по 2-3 часа дневно с по няколко удара, като в някои дни общата им продължителност достига 8 часа. Една от най-мощните атаки беше на 1 януари, като от Нова година насам хакерите пробват нови и нови методи да ограничат достъпа на читателите ни (виж карето).
Основната причина „Труд” не само да не бъде заличен от интернет пространството, но и да удържа водещата си позиция сред българските онлайн медии, са невероятно верните ни читатели. През цялото време, и в най-наситените с удари дни, стотици хиляди потребители продължават да влизат или поне да се опитват да влязат в trud.bg.
Благодарим им за доверието и ги уверяваме, че ще продължим да правим всичко възможно да могат да четат без затруднения онлайн изданието.
Методи
Удрят, когато се чете най-много
Допреди четири месеца имаше по една DDoS атака срещу trud.bg на 2-3 месеца, с продължителност най-много час, сочи архивът на системните администратори на „Труд”.
През октомври 2021 г. ударите станаха всекидневни и най-често започваха в 9 ч. сутринта. Това е пиковият час, в който традиционно в сайта влизат най-много потребители. Това е и моментът, в който на trud.bg излизат ключовите новини, анализи, коментари и разследвания от броя на вестника за деня.
През ноември атаките станаха по 2-3 на ден - във всички най-четени периоди от деня. През декември хакерите опитаха да „покрият” целия ден - от 8 сутринта до 8 вечерта с малки прекъсвания.
В последните дни на миналата година видяха, че харчат пари, но сайтът вече е достатъчно защитен и не пада. И започнаха да сменят тактиката.
След като в началото всяка атака беше насочена към отделен сървър, пробваха да ударят едновременно всичките, заедно с всичките ни интернет доставчици. Успяха да открият и част от новите ни, променени и скрити IP адреси, за да ни атакуват директно.
Миналата седмица опитаха нещо ново - да пробият страницата на административния панел на сайта. За целта часове наред я „наводняваха” с милиони фалшиви заяви в опит да намерят слаба парола на някой от редакторите на сайта.
Кибер терор с такава продължителност, с такива методи и с толкова мащабни ресурси не е известно да е извършван досега над българска онлайн медия.
На ход са разследващите
Очакваме резултати от възложената на МВР проверка
„Труд” подаде по надлежния ред сигнал още за първите мощни хакерски атаки в средата на октомври. На 21 октомври Софийска градска прокуратура обяви официално, че е разпоредила извършването на проверки по постъпили сигнали от „ПИК Нюз” и „Труд медия” ЕООД, съдържащи данни за престъпление от общ характер.
От държавното обвинение съобщиха, че проверките са възложени на ГДБОП-МВР, като след приключване материалите следва да бъдат докладвани в Софийска градска прокуратура за преценка на събраните данни и наличието на основания за образуване на досъдебни производства.
Оттогава до момента никой от екипа на „Труд” не е потърсен по какъвто и да е начин от страна на МВР.
Справка в деловодството на държавното обвинение показва, че на 15 декември м. г. от Софийска градска прокуратура е издадено постановление за образуване на досъдебно производство за разследване от дознател. За решаване на преписката се очакват материали от ГДБОП - София.
Проверка на „Труд” установи, че крайният срок за приключване на разследването, даден на ГДБОП, е 09.02.2022 г.
„Труд” ще изпрати цялата информация по случая до президента Румен Радев, премиера Кирил Петков, Комисията по културата и медиите в Народното събрание и Комисията по граждански свободи, правосъдие и вътрешни работи в Европейския парламент.
„Труд” не намира за нужно да осведомява “медийни” неправителствени организации, които достатъчно ясно са показали, че нямат отношение към реалните проблеми на българските медии, а единствено към своето финансиране и правилно поведение.