КомментарийОбщество

«Чума» из каждого утюга

Атака на «Новую» через сотни тысяч зараженных устройств «интернета вещей» и Wi-Fi роутеров — реальная угроза независимой журналистике. Но ведь не только ей

Этот материал вышел в номере № 106 от 22 сентября 2021
Читать

19 сентября, в решающий день самых предсказуемых выборов, сайт «Новой газеты» перестал отвечать на запросы пользователей из-за серии мощных DDoS-атак. Они начались в 14:45 по Москве и продолжались до 3:00 следующих суток. Правда, последние два часа уже вхолостую. К 0:55 мы окончательно купировали все угрозы, и ночная смена, чертыхаясь, уже выставляла в интернет спецэфир по выборам и понедельничный номер. Убедившись, что атака не наносит уже никакого ущерба, организаторы ее свернули. Но своей цели достигли: на девять часов сайт «Новой» выбили с рынка. Атаки прошли в четыре волны, на ходу меняя свои типы. Изучая сейчас следы этой атаки, мы предполагаем: против «Новой газеты» мог быть применен ботнет нового типа — из зараженных «умных» устройств и роутеров, — сил которого достаточно, чтобы угрожать инфраструктуре страны.

Фото: Донат Сорокин / ТАСС

Фото: Донат Сорокин / ТАСС

Объяснительная записка читателям «Новой», которую, кроме них, прочтут роутеры и «умные» пылесосы.

Что вообще такое DDоS-атака? Объясним на примере избирательного участка.

Представим, что сайт — это КОИБ. Пользователь посылает запрос на сайт, чтобы зайти на него (загружает бюллетень в КОИБ), тот открывает страницу (мигает зеленой лампочкой).

Но тут появляется ботнет зараженных одной командой устройств («карусель» анонимных избирателей). Устройства одновременно посылают запросы на сайт. Сайт последовательно отвечает на каждый из них. Чаще всего ничего страшного не происходит (щели КОИБа хватает), но при серьезных DDoS-атаках запросов настолько много, что читателям уже не пробиться сквозь ботов (КОИБ просто подавится, если «карусельщики» начнут вброс). В случае с «Новой» ботнет пытался сделать 1,2 миллиона запросов на сайт в секунду.

Как и на плохих избирательных участках, в интернете и не такое встречается. Тут нужен наблюдатель, который уведомит защитную систему о нарушении, и та остановит атаку. Защита от DDoS-атак, распознающая подобные грязные технологии, есть и у сайта «Новой», но продержалась она недолго. А потом началось самое интересное.

Зараженные устройства начали вести себя так, будто это не боты, а живые пользователи, только с медленным интернетом.

Используя «человеческие» сценарии поведения на сайте, они обманывали защитную систему, которая пропускает людей и блокирует ботов. Более того, такие псевдопользователи отправляли на наш сервер не одиночные, а групповые запросы, в ответ чудовищно перегружая ресурсы «Новой газеты». Пиковая нагрузка достигала 15 гигабит в секунду.

Передо мной фотографии реальных ублюдков, атаковавших нас 19 сентября: читалка Amazon Kindle Fire HDX 7, планшет SHIELD Tablet K1. А вот еще особые приметы: Python-urlib/3.6 системы Линукс из Великобритании. Кажется, это роутер — если так, то он из самых опасных, сам раздает Wi-Fi и всегда подключен к широкополосной связи. Или, например, вот такой зараженный okhttp/4.0.1 на Android — этот может быть и «умным» утюгом, и пылесосом, и воротами, открывающими по звонку на сим-карту. В 2018 году одни такие ворота уже подписывали владельца на платные сервисы МТС, тогда это было смешным мемом. Прошло три года, и шлагбаумы научили почитывать сайт «Новой газеты» в день выборов. Сотни тысяч таких устройств «интернета вещей», притворившись читателями, вывели из строя наш сайт.

Читалка

Читалка

Судя по всему, атаковавший нас ботнет был огромен: только заблокированных сессий было несколько миллионов. География ботнета международная:

  • 4,5 млн запросов к нам пришло из России,
  • 2,1 млн — из США,
  • 1,1 млн — Бразилии,
  • 1 млн — Индонезии,
  • 0,9 млн — Канады.

Бразилия и Индонезия — те же самые страны, откуда в начале сентября ботнет из зараженных «умных» устройств устроил рекордную в истории интернета атаку на сервера «Яндекса». Ее мощность достигала невероятные 22 миллиона запросов в секунду, тогда как еще год назад крупнейшие атаки не превышали один миллион запросов, а основную ударную силу ботнета составляли как раз взломанные высокопроизводительные Wi-Fi роутеры. Технические специалисты «Яндекса» и QRator Labs, изучавшие цифровые следы атакующих, обнаружили, что ботнет постоянно растет, заражая новые устройства через незакрытые уязвимости, и прозвали его «Чумой» (Mēris).

Роутер

Роутер

Тогда «Яндекс», как сообщали, «с трудом сдержал» атаку ботнета, грамотно распорядившись мозгами своих специалистов и обширной инфраструктурой, с помощью которой удалось раздробить нагрузку. Но, по мнению киберэкспертов, атака на главную российскую IT-компанию и не преследовала иной цели, кроме «демонстрации силы».

Тревожные отчеты лучших айтишников страны о том, что «речь идет об угрозе инфраструктуре в масштабах России», лишь подтвердили качество услуг владельца «Чумы» на черном рынке «убийц сайтов».

Закончить тем, что сайт «Новой газеты» с понедельника работает «в обычном режиме», не получится: это не совсем правда.

Во-первых, небольшая группа читателей жалуются, что они до сих пор не могут открыть сайт. Среди обычных причин теперь стоит предполагать и такую: защита «Новой» блокирует ваш роутер, потому что он взломан и сам атакует нас.

Во-вторых, защита сайта «Новой газеты» уже существенно изменилась, и скоро мы ощетинимся еще больше. Продолжим изучать цифровые следы ботнета, постараемся дать ход результатам этого исследования вместе с заявлением в полицию. И предупредим (пока этот текст еще могут открыть на сайте наши читатели, а с ними и некритическое число «умных» видеокамер, розеток, чайников и шлагбаумов), что следующей целью для «демонстрации силы» киберманьяков может стать база данных медицинских услуг, банк, системы, регулирующие городской трафик. Просто чума!

shareprint
Добавьте в Конструктор подписки, приготовленные Редакцией, или свои любимые источники: сайты, телеграм- и youtube-каналы. Залогиньтесь, чтобы не терять свои подписки на разных устройствах
arrow