EN|RU|UK
 Политика Украины
  36203  131

 КАК УНИЧТОЖАЛИ "ЦЕНЗОР.НЕТ". ХРОНИКА БЕЗНАКАЗАННОГО БАНДИТИЗМА

9 декабря прошел ровно год с того момента, как спецназ УБОП МВД "Сокол" незаконно захватил помещение редакции "Цензор.Нет" и похитил все четыре наших рабочих сервера со всем объемом информации. Это была целенаправленная попытка уничтожить один из ведущих информационных ресурсов, рассказывающих о Евромайдане.

Это была циничная демонстративная акция устрашения против украинских СМИ и попытка уничтожить "Цензор.Нет".

За это наглое преступление против свободы слова до сих пор никто не наказан, и даже фамилии и имена участников нападения не установлены. Это еще один вопрос для заседания комитета по борьбе с коррупцией.

Хочу рассказать о войне в интернете против "Цензор.Нет", по мотивам которой можно написать настоящий кибер-детектив. Я не мог писать о деталях этой войны в то время - чтобы не демонстрировать противнику наши методы противодействия. Но сейчас время пришло.

В том, что Янукович и его московские хозяева готовятся сорвать ассоциацию с Евросоюзом, я лично не сомневался. Понимал, что "Цензор" будет мишенью. В марте 2013-го судья высшего хозяйственного суда Жанна Бернацкая подала в суд на "Цензор" по смехотворному поводу. А Голосеевский районный суд быстро вынес решение конфисковать наш сервер. Благодаря солидарности коллег-журналистов и общественному осуждению нелепых претензий Бернацкой мы отбились. (Кстати, где сейчас Бернацкая - по-прежнему паркует где попало свой "Порш Кайен" у элитного дома в центре на Горького, где у нее шикарная квартира? Или ее уже люстрировали?)

А в начале ноября мой друг Сергей, весьма осведомленный человек, сказал мне, чтобы я был внимателен. Он сказал: "В здании Департамента оперативно-технических мероприятий СБУ на улице Малоподвальной приступила к работе группа из примерно 40 новых сотрудников. Они приехали по приглашению председателя СБУ Якименко. Специалисты по кибер-войне из России, у которых стоит задача борьбы с интернет-ресурсами. Основные цели - "Цензор" и "Украинская правда", а также любые другие оппозиционные издания. Россиянам дали удостоверения СБУ для прохода на режимные объекты, они пользовались всеми полномочиями сотрудников украинской спецслужбы. Твоя почта на mail.ru полностью читается, находятся под контролем все твои средства связи".

Работу группы российских спецов мы заметили уже 22 ноября. "Цензор" подвергся массированным DDoS-атакам. Причем на наш сайт за эти годы DDoS-атаки производились многократно, и система защиты была вполне отлаженной. Но здесь противник оказался по-настоящему изощренным. Нагрузка на серверы возросла более чем в
100 раз по сравнению с обычной. С 22 ноября у нашего сисадмина Михаила и программиста Романа не было спокойных дней и ночей - просто удивительно, как они выдержали не отходить несколько месяцев от компьютера с круглосуточно трезвонящим по тревоге телефоном. Настоящий трудовой подвиг. Спасибо, мужики.

Сайт работал, но нас удавалось здорово тормозить, причем каждый раз DDoS-атака совпадала с какой-либо силовой акцией милиции. 26 ноября нашему корреспонденту Ивану Марусенко, который снимал очередную попытку "Беркута" выдавить людей с Евромайдана, сотрудники милиции разбили редакционный ноутбук и видеокамеру. Стало очевидно, что нам пытаются системно закрыть возможность оперативно информировать людей о ситуации на Евромайдане.

Уже в 2 часа ночи 26 ноября сайт работал некорректно, и сисадмин с программистом в режиме удаленной консоли начали разбираться в ситуации и пытаться все починить. А в 7.00 "Цензор" перестал отображаться вообще.
Я понял, что первым делом те, кто вырубил серверы, а это очевидно серьезный противник, захочет узнать, а как мы реагируем на эту атаку. Захотят вычислить, с кем я связываюсь, какие задачи ставлю. Поэтому с этого момента я отказался от общения с сотрудниками по телефону или по старым каналам связи.

Роман и Михаил довольно быстро выяснили, что дело в сервере с картинками и видео, размещенном на "Воле", с которого снесли загрузочный раздел вместе с операционной системой, из-за чего возникли проблемы и на остальных серверах, когда они пытались обратиться к этим данным.

К счастью, сами данные на диске физически не пострадали и удалось восстановить и перенести эти файлы на другой сервер - это оказалось быстрее, чем поднимать все полностью из бэкапа, в котором, кроме этого,
отсутствовали файлы за последние сутки.

К пяти утра 26 ноября сайт заработал, все пароли были сменены, сисадмин и программисты продолжали перепроверять все серверы и данные, редакция начала работать и даже появилась новость -
/news/260996/ataka_na_tsenzornet_hakery_vzlomali_odin_iz_serverov

Как только сайт заработал, атаки продолжились: к тому моменту они были практически постоянной помехой.

Вот скриншот тех событий:

сервер

Только ситуация более-менее стабилизировалась - как около полудня связь с оставшимися серверами была снова потеряна, и, подключившись к консоли сисадмины обнаружили, что уничтожены уже не
только загрузочные разделы, но и все данные полностью.

Роман начал настраивать с нуля все в облачном хостинге. На этот момент у нас не было никаких данных, по которым можно было хоть как-то восстановить картину, т.к. все логи были уничтожены.
Кто-то сумел проникнуть в систему управления - и вскрыть коды доступа один за другим ко всем четырем серверам, в том числе к резервным, которые мы крайне редко вводили в дело. Данные на резервных серверах были уничтожены буквально через несколько часов после того, как там после гибели первого сервера были сменены пароли.

Было очевидно, что получить наши коды доступа к одному серверу - это было еще возможно вследствие какой-то случайности. Но сразу к четырем, мог только человек, который досконально разбирался в наших внутренних делах. Кто? И когда мы запустимся?

Только приблизительно к 4 утра следующего дня (27 ноября) сайт заработал в облаке, хотя и потерялось некоторое количество новостей за прошедший день и часть фотографий к ним. Около 8 утра Роман после более 30 часов бодрствования отправился хоть немного отдохнуть, а Михаил еще следил за работой сайта до 16, после чего тоже вырубился.

Мы начали разбираться со взломанными серверами. На сервере, на котором выполнялась разработка и тестирование новых функций для "Цензора", злоумышленником был подменен сервис sshd и клиент
ssh, которые в паре собирали не только все используемые на этом сервере логины и пароли, но и все логины и пароли, которые предъявлялись при подключении с этого сервера на другие серверы.

Именно так были украдены и свежесмененные пароли. Каким образом была произведена атака на сервер разработки, ставший троянским конем по сбору паролей, к сожалению, в точности выяснить не удалось, но ряд косвенных признаков говорит о том, что речь, возможно, шла о физическом вмешательстве в сам сервер или коммутационное оборудование, т.к. он был размещен в серверной и в сети, доступ к
которым имели не только сотрудники Цензора, но и других организаций, находящихся в одном с нами здании.

Мы заново начали подключаться. Ужесточили порядок связи и параметры безопасности. Атаки в это время шли непрерывно, периодически делая сайт недоступным.

Я написал статус в 23.30:
"Уважаемые коллеги! Час назад снова началась хакерская атака на "Цензор.Нет". К сожалению, в такое напряженное время мы не можем обновлять информацию. Неизвестные и анонимные хакеры продолжают атаки нашей базы данных. Угрозы информации нет. Но мы не сможем восстановить работу до завтра. Думаю, в СБУ принимают решения не вполне адекватные люди. Они дают неверные оценки ситуации и принимают неверные решения. Это компьютерный бандитизм.
А вот и причина ясна: "БЕРКУТ" ВЫШЕЛ НА МАЙДАН. Они хотят остановить оповещение о ситуации. Я поехал".
В ночь избиения студентов на Евромайдане я приехал в районе 12 часов, затем снова вернулся домой, сайт не работал, и о нападении "Беркута" узнал из "Фейсбука". Снова поехал. В общем, вернулся к "Цензору" уже где-то в 11 - мы снова восстановились.
В это время, несмотря на ежедневный DDoS "Цензор" начал быстро набирать аудиторию. Чем больше нас атаковали, тем больше становилась наша аудитория. Главной темой для нас был Евромайдан.
Я был участником событий на Банковой 1 декабря и с того времени лежал в больнице -мне проломили голову сотрудники милиции. Да, по этому делу пока тоже никто не привлечен к ответственности, Генпрокуратура совершенно не спешит.
9 декабря я все еще был на лечении в Больнице скорой помощи. Ко мне в палату на соседнюю кровать через пару дней подложили совершенно непонятного молодого человека, который при поступлении сказал, что он принимал участие в Майдане, и где-то случайно ударился головой. Но человек о себе ничего не рассказывал, к нему никто не приходил в гости, он ни с кем не общался. Он только выходил в коридор, когда выходил и я, и сидел в палате, когда ко мне приходили гости.


Те, кто его подложил, не понимали, что в нашу палату вообще никого сразу не завозили, только по решению заведующего отделением, и тот, кто попал в палату, сразу по приезде привлекал внимание.
Лечащий врач пришел утром на обследование, посмотрел снимки, и громко и внятно сказал стукачу: "Я не могу вас выписать, раз вы жалуетесь на сотрясение, таковы правила. Но на вашем месте я бы спокойно ехал домой, вам нет нужды находиться в больнице".


Врач из отделения травматологии, который несколько раз подходил ко мне и навещал, вызвал меня в коридор и сказал, что ему коллеги посоветовали прекратить походы, чтобы не попасть под наблюдение.

захват нападение

Кадр с камер наблюдения: силовики Януковича штурмуют офис "Цензор.НЕТ"

9 декабря мне позвонил наш офис-менеджер Андрей и сказал, что в нашу комнату вломилась милиция, заставляют отойти от столов и сдать телефоны. "Цензор" - всегда был небольшим проектом. Мы помещались в одной комнате, там было всего пять человек.

Я написал:
"Редакция Цензор.Нет, которая размещается по адресу Туровская, дом 19в, третий этаж административно-офисного здания, захвачена неизвестным спецподразделением МВД. Один из сотрудников успел сообщить, что всем приказали отойти от компьютеров, запретили использовать мобильные телефоны. Основания для проведения таких действий никто предъявил. Связаться с какими-либо адвокатами - тоже не дали. Две недели сайт подвергался серии DDoS-атак и даже взлому серверов через перехват каналов связи. Вчера нам удалось решить эту проблему. И вот теперь стало ясно, кто стоит за этими провокациями. Мы последовательно все эти три года старались объективно освещать ситуацию в стране. И максимальное внимание уделили освещению событий на Евромайдане. Сегодня в рейтинге Бигмир.нет Цензор.Нет до момента захвата находился на второй позиции. Нас не смогли сломать компьютерные террористы, и вот пришло время для физического захвата. Думаю, это яркая демонстрация того курса, который сейчас приняла администрация Клюева и Захарченко - это не путь переговоров, это путь глобальной зачистки. Те, кто отдают приказ бить детей, конечно, не остановятся перед тем, чтобы убить интернет-сайт. Слава Богу, интернет большой, и уничтожить нас так просто им не удастся. И они не смогут уничтожить другие ресурсы. Но меня беспокоит, что каждый раз, когда DDoS-атаки били по сайту, это происходило накануне силовых акций. При выдвижении "Беркута" на Евромайдан утром 30-го, сразу после столкновений 1-го декабря. Я надеюсь, что у идиотов во власти хватит ума не уничтожить Евромайдан. А мы еще поднимемся. Мы верим в наших читателей!"

Спустя три часа людей отпустили и поступила такая информация:
"Сотрудники редакции рассказали, что стало основанием для захвата офиса "Цензор.Нет" и изъятия всей нашей техники. После того, как людей построили у стены и запретили подходить к компьютерам и пользоваться мобильными телефонами, некий силовик заявил: Мы проводим изъятие техники в вашем помещении, потому что у нас есть решение суда, что какой-то человек, который работал администратором одной из компаний, которая размещается в этом же здании, но не имеет к нам никакого отношения, якобы оставил здесь свой сервер, который ему не вернули якобы какие-то его работодатели. Внимание! В постановлении суда не указано, а какой серийный номер, либо какая марка и какие еще признаки этого сервера! Поэтому силовики решили забрать ВСЕ компьютеры в четырехэтажном здании у всех, кто там работает, чтобы найти искомый! Конечно, все те несколько компов, которые находились в нашей комнате, никакого отдаленного отношения к чьим-либо серверам не имеют. Они все оформлены в надлежащем порядке…

Слава Богу, все сотрудники Цензор.Нет, волонтеры с Евромайдана, и посторонние люди, которые находились в нашей комнате на третьем этаже административного здания на улице Туровская, 19, отпущены на свободу. Никаких правовых оснований для захвата помещения и наших компьютеров не предъявлено! Бандитский налет осуществили неизвестные люди с оружием. Наша комната находится на третьем этаже большого здания с кучей офисов, в самом конце коридора. Группа захвата прежде всего залетела именно к нам. Я не сомневаюсь, что именно мы были мишенью этой атаки. Все компьютеры в нашей комнате и другое личное имущество людей, которые там находились, захвачено, и мы получаем информацию, что их выносят из здания неизвестные силовики, которые не представились. У кого-то есть сомнения, что если Евромайдан уничтожат, Захарченко и Клюев построят здесь туркменскую "демократию"? У меня таких сомнений уже нет".


В общем, целью бандитского налета было физическое похищение наших рабочих серверов - там хранилась вся наша информация и рабочие материалы программистов.
Это был спецназ УБОПа "Сокол". До сих пор я не знаю ни имени судьи, ни следователя, ни сотрудников милиции, которые совершенно незаконно украли наше оборудование. Уверен, что все на работе.
Они не смогли нас закрыть с помощью DDoS, и перешли к откровенному бандитизму.
Нападение на редакцию было сделано для того, чтобы не допустить освещения нами запланированного на 11 декабря разгона Евромайдана.


Это был тяжелейший момент. Я в больнице. Предпринять ничего не могу. Я под капельницами, давление скачет.
Ко мне приехал военный совет - мои друзья - менеджер Андрей Богатырь, Слава Мижарев и выпускающий редактор "Цензора", моя правая рука Виталий Криворучко.

Мы стояли в коридоре нейрохирургии, а "стукача", который нагло приперся за нами, послали подальше.

К моменту нападения на редакцию, в целях противодействия атакам сайт "Цензор" работал с использованием как серверов в облаке, так и находящихся в офисе, которые мы забрали с "Воли" и заново перенастроили,
поэтому физическое изъятие серверов из редакции на работе сайта практически не отразилось.
Сложно сегодня с уверенностью сказать, какая часть проблем с доступом к сайту в то время была связана с блокировкой провайдерами, а какая с ограничениями, которые мы сами накладывали, пытаясь устоять под атаками, во всяком случае доступ извне Украины мы периодически были вынуждены
отключать сами.

захват беркут нападение батькивщина

Реальной проблемой стала атака на наши dns-серверы, именно в этот момент мы около суток были оффлайн, пока администрация net.ua обрабатывала нашу заявку.

В какой-то момент я разнервничался - подумал, что если они получили пароль доступа, и договорились с доменным регистратором, то могут просто украсть доменное имя.
Причем проблема осложнялась тем, что пароли доступа к управлению сайтом находились в том числе и на одном из изъятых серверов.
Мы обратились к компании-регистратору доменного имени в Украине. Но… реакция регистратора была крайне неспешной. Они вмешались только на следующий день. Поэтому весь вечер и всю ночь мы не отображались в интернете. Жаловаться было некому.

Мы уже работали в облачном хостинге, еще с 27-го ноября, но под постоянным прессингом, и только к марту ситуация стабилизировалась.
Я опасался, что налет на "Цензор.Нет" сделан для прикрытия зачистки Майдана. Но в ту ночь власти на зачистку не решились. Мы успели восстановиться, когда через сутки началась первая операция МВД по выдавливанию протестующих с Майдана.

Наши серверы, как сообщили наши доброжелатели, были сразу переданы в СБУ на Малоподвальную. К счастью, нам удалось поменять все пароли.
"Цензор" защитил огромный общественный резонанс, и появление информации о бандитском налете на редакцию во всех независимых СМИ. Здесь снова бесценную роль сыграл "Фейсбук".
Нам надо было решать проблему радикально. Надо было размещать сайт не в Украине. Благодаря помощи моих друзей - Borys Filatov и других, в том числе от нескольких неизвестных мне киевлян, у нас появились средства, и мы разместились на одном из крупнейших американских облачных серверов и установили защитный фаервол Cloud Flare.

DDoS-атаки не прекратились. Но нам стало гораздо легче их отбивать. Последний всплеск DDoS-атак пришелся на 20 февраля.

Слежка за мной, кстати, не прекращалась весь Майдан. Было несколько связанных с этим забавных ситуаций - топтуны несколько раз очень забавно прокалывались. На одной из встреч с моим источником - бывшим сотрудником СБУ, рядом с нами села парочка, а мой собеседник подошел к ним и поздоровался - "Кого пасете, ребята?" Он служил с ними, и знал и мужчину, и женщину как офицеров управления "Т".

Серверы нам после революции из СБУ вернули. А вот о следственных действиях мне ничего не известно. Очень хочется узнать все-таки судью, увидеть решение суда, увидеть, кто командовал "Соколом"…Чтобы история была законченной. Чтобы помнили.

Юрий Бутусов

VEhrdlVXdGtSMFF3V1V4U1p6bEhRakJNTjFGemFVUlJjblJIUVRCTWFsRjFVemgyTUV4cVVYWmtSME13VEZoU1owNURPVEJNV0ZKbmJucFJkbVJEZHpCTUwxRnpUa013TUV4WVVYWmtRelF3VEZZNE1FcElVWFJrUjBFd1RISlNaemxIUXc9PQ==
Комментировать
Сортировать:
в виде дерева
по дате
по имени пользователя
по рейтингу
Страница 2 из 2
<<<1 2
Страница 2 из 2
<<<1 2
 
 
 
 
 
 вверх