Комментарий · Общество

«Чума» из каждого утюга

Атака на «Новую» через сотни тысяч зараженных устройств «интернета вещей» и Wi-Fi роутеров — реальная угроза независимой журналистике. Но ведь не только ей

Этот материал вышел в № 106 от 22 сентября 2021
Читать номер
Этот материал вышел
в № 106 от 22 сентября 2021
12:15, 21 сентября 2021Константин Полесков
views

8267

12:15, 21 сентября 2021Константин Полесков
views

8267

19 сентября, в решающий день самых предсказуемых выборов, сайт «Новой газеты» перестал отвечать на запросы пользователей из-за серии мощных DDoS-атак. Они начались в 14:45 по Москве и продолжались до 3:00 следующих суток. Правда, последние два часа уже вхолостую. К 0:55 мы окончательно купировали все угрозы, и ночная смена, чертыхаясь, уже выставляла в интернет спецэфир по выборам и понедельничный номер. Убедившись, что атака не наносит уже никакого ущерба, организаторы ее свернули. Но своей цели достигли: на девять часов сайт «Новой» выбили с рынка. Атаки прошли в четыре волны, на ходу меняя свои типы. Изучая сейчас следы этой атаки, мы предполагаем: против «Новой газеты» мог быть применен ботнет нового типа — из зараженных «умных» устройств и роутеров, — сил которого достаточно, чтобы угрожать инфраструктуре страны.

Фото: Донат Сорокин / ТАСС

Объяснительная записка читателям «Новой», которую, кроме них, прочтут роутеры и «умные» пылесосы.

Что вообще такое DDоS-атака? Объясним на примере избирательного участка.

Представим, что сайт — это КОИБ. Пользователь посылает запрос на сайт, чтобы зайти на него (загружает бюллетень в КОИБ), тот открывает страницу (мигает зеленой лампочкой).

Но тут появляется ботнет зараженных одной командой устройств («карусель» анонимных избирателей). Устройства одновременно посылают запросы на сайт. Сайт последовательно отвечает на каждый из них. Чаще всего ничего страшного не происходит (щели КОИБа хватает), но при серьезных DDoS-атаках запросов настолько много, что читателям уже не пробиться сквозь ботов (КОИБ просто подавится, если «карусельщики» начнут вброс). В случае с «Новой» ботнет пытался сделать 1,2 миллиона запросов на сайт в секунду.

Как и на плохих избирательных участках, в интернете и не такое встречается. Тут нужен наблюдатель, который уведомит защитную систему о нарушении, и та остановит атаку. Защита от DDoS-атак, распознающая подобные грязные технологии, есть и у сайта «Новой», но продержалась она недолго. А потом началось самое интересное.

Зараженные устройства начали вести себя так, будто это не боты, а живые пользователи, только с медленным интернетом.

Используя «человеческие» сценарии поведения на сайте, они обманывали защитную систему, которая пропускает людей и блокирует ботов. Более того, такие псевдопользователи отправляли на наш сервер не одиночные, а групповые запросы, в ответ чудовищно перегружая ресурсы «Новой газеты». Пиковая нагрузка достигала 15 гигабит в секунду.

Передо мной фотографии реальных ублюдков, атаковавших нас 19 сентября: читалка Amazon Kindle Fire HDX 7, планшет SHIELD Tablet K1. А вот еще особые приметы: Python-urlib/3.6 системы Линукс из Великобритании. Кажется, это роутер — если так, то он из самых опасных, сам раздает Wi-Fi и всегда подключен к широкополосной связи. Или, например, вот такой зараженный okhttp/4.0.1 на Android — этот может быть и «умным» утюгом, и пылесосом, и воротами, открывающими по звонку на сим-карту. В 2018 году одни такие ворота уже подписывали владельца на платные сервисы МТС, тогда это было смешным мемом. Прошло три года, и шлагбаумы научили почитывать сайт «Новой газеты» в день выборов. Сотни тысяч таких устройств «интернета вещей», притворившись читателями, вывели из строя наш сайт.

Читалка

Судя по всему, атаковавший нас ботнет был огромен: только заблокированных сессий было несколько миллионов. География ботнета международная:

  • 4,5 млн запросов к нам пришло из России,
  • 2,1 млн — из США,
  • 1,1 млн — Бразилии,
  • 1 млн — Индонезии,
  • 0,9 млн — Канады.

Бразилия и Индонезия — те же самые страны, откуда в начале сентября ботнет из зараженных «умных» устройств устроил рекордную в истории интернета атаку на сервера «Яндекса». Ее мощность достигала невероятные 22 миллиона запросов в секунду, тогда как еще год назад крупнейшие атаки не превышали один миллион запросов, а основную ударную силу ботнета составляли как раз взломанные высокопроизводительные Wi-Fi роутеры. Технические специалисты «Яндекса» и QRator Labs, изучавшие цифровые следы атакующих, обнаружили, что ботнет постоянно растет, заражая новые устройства через незакрытые уязвимости, и прозвали его «Чумой» (Mēris).

Роутер

Тогда «Яндекс», как сообщали, «с трудом сдержал» атаку ботнета, грамотно распорядившись мозгами своих специалистов и обширной инфраструктурой, с помощью которой удалось раздробить нагрузку. Но, по мнению киберэкспертов, атака на главную российскую IT-компанию и не преследовала иной цели, кроме «демонстрации силы».

Тревожные отчеты лучших айтишников страны о том, что «речь идет об угрозе инфраструктуре в масштабах России», лишь подтвердили качество услуг владельца «Чумы» на черном рынке «убийц сайтов».

Закончить тем, что сайт «Новой газеты» с понедельника работает «в обычном режиме», не получится: это не совсем правда.

Во-первых, небольшая группа читателей жалуются, что они до сих пор не могут открыть сайт. Среди обычных причин теперь стоит предполагать и такую: защита «Новой» блокирует ваш роутер, потому что он взломан и сам атакует нас.

Во-вторых, защита сайта «Новой газеты» уже существенно изменилась, и скоро мы ощетинимся еще больше. Продолжим изучать цифровые следы ботнета, постараемся дать ход результатам этого исследования вместе с заявлением в полицию. И предупредим (пока этот текст еще могут открыть на сайте наши читатели, а с ними и некритическое число «умных» видеокамер, розеток, чайников и шлагбаумов), что следующей целью для «демонстрации силы» киберманьяков может стать база данных медицинских услуг, банк, системы, регулирующие городской трафик. Просто чума!

Делаем честную журналистику вместе с вами

Каждый день мы рассказываем вам о происходящем в России и мире. Наши журналисты не боятся добывать правду, чтобы показывать ее вам.

В стране, где власти постоянно хотят что-то запретить, в том числе - запретить говорить правду, должны быть издания, которые продолжают заниматься настоящей журналистикой.

Ваша поддержка поможет нам, «Новой газете», и дальше быть таким изданием. Сделайте свой вклад в независимость журналистики в России прямо сейчас.
#ddos-атака #новая газета #сайт #хакерская атака
aloe-tibet.ruрекламарекламаУзнать большеУзнать больше

важно

2 часа назад

Что произошло за ночь 22 сентября. Коротко

выпуск

№ 106 от 22 сентября 2021

Slide 1 of 6
  • № 106 от 22 сентября 2021
Slide 1 of 6

Топ 6

1.
Сюжеты

Решения ЕСПЧ надо выполнять Совет Европы настоятельно призвал власти России немедленно освободить Навального, отменить оспариваемые приговоры и выплатить компенсации жертвам преследований

views

215501

2.
Репортажи

«Спросите у госпожи Сечиной» Как ФСБ и судья Менделеева закрыли от публики процесс по делу братьев Магомедовых

views

187510

3.
Онлайн

Выборы прошли. Оппозиция потеряла голоса, у «Единой России» около 50%. Онлайн КПРФ проводит митинг на Пушкинской в Москве, после добавления протоколов ДЭГ в Москве победили провластные кандидаты

views

148595

4.
Комментарий

Придется платить Страсбургский суд вынес три решения в пользу истцов из России

views

139633

5.
Сюжеты

«На СИЗО-6, в разработку, петушка из тебя сделаем» Тюремщиков из восставшей колонии в Ангарске перевели в соседнюю ИК-2. Теперь и там заключенные жалуются на пытки и объявляют голодовки

views

136644

6.
Репортажи

Зачищенный край Самый протестный регион России готовится отправить Михаила Дегтярева во второй тур

views

131985

Вы можете просто закрыть это окно и вернуться к чтению статьи. А можете — поддержать газету небольшим пожертвованием, чтобы мы и дальше могли писать о том, о чем другие боятся и подумать. Выбор за вами!
close

К сожалению, браузер, которым вы пользуетесь, устарел и не позволяет корректно отображать сайт. Пожалуйста, установите любой из современных браузеров, например:

Google Chrome Firefox Opera