Тишина как оружие: DDoS-атаки, приставленные к виску медиаресурсов
Хабр, привет! Я Ильгиза, в 2022 году нырнула в море ИТ и кибербезопасности из деловой журналистики. Сейчас я PR-менеджер в ИБ-компании Innostage — гуманитарий, который упаковывает техническую экспертизу своих коллег в читабельные статьи. Я абсолютно беспомощна в «матчасти» по ИТ и ИБ и раньше даже не помышляла написать что-то свое на Хабр. Но недавно меня очень сильно тригернули очередные массовые DDoS-атаки на российские СМИ, включая татарстанские, с которыми я давно и тепло дружу. Не судите строго, но дальше будет сторителлинг с вкраплениями моего частного мнения о Министерстве Правды и критичных цифровых инцидентах для медиаплатформ.
Журналистский след
Когда-то я вела в online-газете еженедельную рубрику, где собирала мнения собственников и руководителей компании по актуальным бизнесовым инфоповодам. Обросла контактами, среди которых было украинское PR-агентство. В конце февраля 2022 года их аккаунт-менеджер обратился ко мне с просьбой призвать общественность через наше СМИ к остановке только что начавшейся СВО. Я сказала, что только могу передать эту информацию в редакцию (и сделала это). Дальнейшей реакции не последовало и, казалось бы, на этом история закончилась.
А через пару дней, мы узнали, что такое DDoS. Не берусь увязывать эти события, просто излагаю в хронологическом порядке.
Наш новостной портал лежал в нокауте весь тот день и, кажется, половину следующего. По счастью, издание входило в состав крупного холдинга сферы ТЭК, и проблему «отказ в обслуживании» устранили через продвинутые ИБ-решения головной компании.
На этом фоне появились новые правила и ритуалы работы с админкой: многофакторные пароли и т.д. А еще редактор посчитал необходимым объясниться перед читателями — выпустили развернутую новость о том, почему сайт не подавал признаков жизни.
И вот уже третий год угрозы через DDoS-атаки на сайты СМИ являются одним из главных инструментов хактивистов. Опять же, не берусь судить, что в большей степени руководит их действиями — оплата за атаки третьей стороной или антиутопические настроения в духе романов Джорджа Оруэлла, Рэя Брэдбери или Евгения Замятина.
Как бы то ни было, эти товарищи наносят как репутационный, так и финансовый ущерб изданию-мишени. Нарушая работу медиаплатформ и блокируя доступ пользователей к контенту, DDoS-атаки снижают охваты страниц, поток трафика и, как результат место атакованного СМИ в рейтингах поисковиков или специализированных сервисах по подсчету трафика вроде Liveinternet, Медиалогии или Mediascope. Само собой, чем дольше длится DDoS-атака, тем выше риск потерять место в топе рейтингов федеральной, региональной или отраслевой повестки.
А как туда вообще попасть?
Новости, отобранные с применением сложных алгоритмов с анализом содержания (потенциальная важность и виральность типа отставки губернатора, развода поп-звезды и т.д.) и взаимодействия читателей с контентом (скролинг, дочитывание, лайк, шер, репост и все такое прочее), попадают на главную страницу агрегаторов, откуда пользователь может кликнуть на заголовок и провалиться на портал за подробностями. В течение дня «главные новости» сменяют одна другую, и конкуренция тут нешуточная.
По счастью, попадание в «витрину» — не единственный способ получить тысячи прочтений.
Для генерации трафика надо стараться первым опубликовать важную читателям новость, запустить ее в новостные агрегаторы и тем самым встать во главу сюжета.
Продемонстрирую это в интерфейсе все тех же Дзен.Новостей. На примере мониторинга новостей об ИБ‑компании видно крупно выделенную основу сюжета, а ниже — можно поискать подробности в других источниках.
К чему веду?
Журналистам безразличны интересы читателей только в мирах Оруэлла и других антиутопистов. Тех самых, где запрещается сама мысль о свободной и рефлексирующей личности и давление государственной машины превращает людей в тени, а в новостях появляется только то, что сгенерировало и одобрило Министерство Правды.
На самом деле, редакция прикладывает все усилия, чтобы быть интересной и полезной своей аудитории — иначе тебе ни трафика, ни рекламодателей. При этом реклама в обязательном порядке маркируется (Erid и токены — отдельная и не самая интересная тема). Кстати, по этой самой маркировке любой читатель может отличить редакционный материал от рекламного, примерно как сыр без заменителей молочного жира от сыра с ними. Так что каждый сам выбирает, какую информацию ему употреблять.
Хактивисты заявляют, что, ломая пророссийские СМИ, они поддерживают свободу слова. Но по факту наоборот — закрывают изданию рот и не дают общаться с читателем. Да, журналисты уже 10+ лет нажимают на клавиатуре «х», «л», «о», «п» и «к», когда хотят сообщить о взрыве, но ведь аудитория приняла эти правила игры и безошибочно расшифровывает послание.
Короче, преподносить DDoS-атаки как кару за ложь-пропаганду-выдачу-черного-за-белое — такой себе аргумент.
Является ли DDoS недопустимым событием для СМИ?
В текущей должности фразу «недопустимое событие» я использую в текстах почти каждый день. Задумалась:, а какие ИБ-инциденты, помимо отказа в обслуживании веб-ресурса, будут для онлайн-медиа максимально критичными и недопустимыми даже в мыслях?
Дефейс? Вряд ли — админки новостных порталов, как правило, довольно удобны, а людей, способных быстро заменить нелегитимный текстовый или графический контент на нормальный — добрая половина редакции.
Шифрование данных (CRM, базы контактов экспертов и фотоархива) — вот это, пожалуй, действительно критично.
Страшнее только полный паралич ИТ-инфраструктуры и доступ к финансовой системе (хотя суммы там несопоставимо ниже, чем в любой другой отрасли).
Кстати, а так ли критична DDoS-атака для конкретного СМИ, если параллельно атакованы ее конкуренты? Например, исследуя хакерскую активность от 15–16 февраля, ребята из группы OSINT нашего SOC выявили факты атак на 70 российских новостных и медиаресурсов деловой и общественно-политической тематики. Еще сказали, что атаки происходили со стороны хактивистов с помощью утилит distress и mhddos (Не стала гуглить, что это такое, чтобы не потерять нить повествования. Но если вдруг это важно для контекста — эксперты в теме, пожалуйста, отпишитесь в комментарии).
Про просадку в экономике медиапроекта, кассовые разрывы в продаже рекламы и т.д. — тут понятно. Но как будто если вы с конкурентами в одинаково сложной ситуации, то она уже не настолько критичная, хотя бы морально… Или нет?
P.S. По-хорошему здесь напрашиваются выводы и/или рекомендации, что делать, чтобы отражать даже самые мощные и продолжительные DDoS-атаки. Но, не в моем гуманитарном случае:-)
