По мнению экспертов, внедрение «Великой пушки» указывает на предельное ужесточение государственного контроля над информацией — фактически в норму возводится широкое применение инструмента атаки в целях соблюдения цензуры
Источник: Википедия

В Китае внедряют инструмент, с помощью которого можно устраивать гигантские распределенные атаки, направленные на отказ в обслуживании, в цензурных целях. Исследователи прозвали систему «Великой китайской пушкой» (Great Cannon).

Впервые инструмент можно было наблюдать в действии в марте, в ходе мощнейшей DDoS-атаки на платформу разработки программного обеспечения GitHub. Сайт подвергся массированной бомбардировке трафиком из-за размещенных на нем проектов систем обхода цензуры в Китае. Это была самая большая атака на GitHub за всю историю сайта.

Вначале были предположения, что атаку организовали с помощью «Великого китайского межсетевого экрана», сложной системы из сетевого оборудования и ПО фильтрации трафика, применяемой властями Китая для ограничения доступа к сайтам. Посредством государственного межсетевого экрана в числе прочего блокируется доступ к Facebook, Twitter и некоторым СМИ.

Но хотя инфраструктура «Великой пушки» размещена там же, где и «Великий межсетевой экран», DDoS-инструмент — это отдельная «наступательная» система с другими возможностями и архитектурой, как выяснили исследователи из Калифорнийского университета и Университета Торонто.

«Пушка» — не расширение межсетевого экрана, а самостоятельный инструмент перехвата трафика на индивидуальные IP-адреса, устраивающий атаки по схеме «человек посередине» (man on the middle), — он может произвольно подменять незашифрованный контент, передаваемый между веб-сервером и конечным пользователем. По словам исследователей, «пушка» используется для манипуляций с трафиком систем, находящихся за пределами Китая, путем тайного программирования браузеров на осуществление массивных DDoS-атак.

Атака на GitHub проводилась по методу инъекции вредоносного кода JavaScript в браузеры, соединяющиеся с китайской поисковой системой Baidu. Когда «Великая пушка» регистрирует запрос на получение определенных файлов Javascript с одного из инфраструктурных серверов Baidu, она, по всей видимости, выполняет одно из двух действий: запрос либо передается на серверы Baidu, что происходило более чем в 98% случаев, либо он отбрасывается до достижения Baidu, а в ответ запрашивающему пользователю отправляется вредоносный скрипт — это происходило примерно в 1,75% случаев, говорится в докладе исследователей.

При этом запрашивающие пользователи находились за пределами Китая и просматривали какой-либо сайт, пользующийся инфраструктурным сервером Baidu, например отображающий рекламу с помощью баннерной платформы китайской компании. В ходе DDoS-атаки на GitHub, проводимой с помощью вредоносного скрипта, к ней подключались получившие его пользователи.

К аналогичным выводам пришли специалисты из Electronic Frountier Foundation, тоже анализировавшие атаку. По их сведениям, она явно была организована кем-то, у кого был доступ к магистральным маршрутизаторам в Китае, и стала возможной только благодаря тому, что размещаемый на сайтах скрипт счетчика Baidu по умолчанию не использует шифрование. Если бы протокол HTTPS использовался шире, атаку провести бы не удалось, полагают в EFF.

По утверждению авторов доклада, есть убедительные свидетельства в пользу того, что «пушкой» орудует китайское правительство. Авторы проверили два международных канала связи с Китаем, принадлежащие двум разным китайским провайдерам, и пришли к выводу, что «Великая пушка» размещается там же, где и «Великий межсетевой экран». Это дает веские основания предполагать причастность госструктур, считают они.

Сам процесс осуществления DDoS-атаки технически незамысловат, но «Великая пушка» может применяться не только для этого. Несложное изменение в настройках системы позволяет переключить ее из режима работы с трафиком к определенному IP-адресу на перехват в обратном направлении. По словам исследователей, это позволило бы доставлять вредоносы на любой компьютер за пределами Китая, общающийся с любым китайским сервером, на котором не используется криптографическая защита.

Похожая система под названием QUANTUM применяется американским Агентством национальной безопасности и британскими разведслужбами для адресной доставки эксплойтов, утверждают исследователи.

«Внедрение ‘Великой пушки’ указывает на предельное ужесточение государственного контроля над информацией — фактически в норму возводится широкое применение инструмента атаки в целях соблюдения цензуры силами ничего не подозревающих пользователей», — пишут докладчики, добавляя, что их выводы указывают на необходимость как можно скорее заменить унаследованные протоколы Web, такие как HTTP, на их криптографически защищенные аналоги вроде HTTPS.

Купить номер с этой статьей в PDF