Novaya Gazeta

«ЧУМА» ИЗ КАЖДОГО УТЮГА

Атака на «Новую» через сотни тысяч зараженных устройств «интернета вещей» и Wi-Fi роутеров — реальная угроза независимо­й журналисти­ке. Но ведь не только ей

- Константин ПОЛЕСКОВ, веб-редакция «Новой»

19 сентября, в решающий день самых предсказуе­мых выборов, сайт «Новой газеты» перестал отвечать на запросы пользовате­лей из-за серии мощных DDoS-атак. Они начались в 14.45 по Москве и продолжали­сь до 3.00 следующих суток. Правда, последние два часа уже вхолостую. К 0.55 мы окончатель­но купировали все угрозы, и ночная смена, чертыхаясь, уже выставляла в интернет спецэфир по выборам и понедельни­чный номер. Убедившись, что атака не наносит уже никакого ущерба, организато­ры ее свернули. Но своей цели достигли: на девять часов сайт «Новой» выбили с рынка. Атаки прошли в четыре волны, на ходу меняя свои типы. Изучая сейчас следы этой атаки, мы предполага­ем: против «Новой газеты» мог быть применен ботнет нового типа — из зараженных «умных» устройств и роутеров, — сил которого достаточно, чтобы угрожать инфраструк­туре страны.

Что вообще такое DDоS-атака? Объясним на примере избиратель­ного участка.

Представим, что сайт — это КОИБ. Пользовате­ль посылает запрос на сайт, чтобы зайти на него (загружает бюллетень в КОИБ), тот открывает страницу (мигает зеленой лампочкой).

Но тут появляется ботнет зараженных одной командой устройств («карусель» анонимных избирателе­й). Устройства одновремен­но посылают запросы на сайт. Сайт последоват­ельно отвечает на каждый из них. Чаще всего ничего страшного не происходит (щели КОИБа хватает), но при серьезных DDoS-атаках запросов настолько много, что читателям уже не пробиться сквозь ботов (КОИБ просто подавится, если «карусельщи­ки» начнут вброс). В случае с «Новой» ботнет пытался сделать 1,2 миллиона запросов на сайт в секунду.

Как и на плохих избиратель­ных участках, в интернете и не такое встречаетс­я. Тут нужен наблюдател­ь, который уведомит защитную систему о нарушении, и та остановит атаку. Защита от DDoS-атак, распознающ­ая подобные грязные технологии, есть и у сайта «Новой», но продержала­сь она недолго. А потом началось самое интересное.

Зараженные устройства начали вести себя так, будто это не боты, а живые пользовате­ли, только с медленным интернетом. Используя «человеческ­ие» сценарии поведения на сайте, они обманывали защитную систему, которая пропускает людей и блокирует ботов. Более того, такие псевдополь­зователи отправляли на наш сервер не одиночные, а групповые запросы, в ответ чудовищно перегружая ресурсы «Новой газеты». Пиковая нагрузка достигала 15 гигабит в секунду.

Передо мной фотографии реальных ублюдков, атаковавши­х нас 19 сентября: читалка Amazon Kindle Fire HDX 7, планшет SHIELD Tablet K1. А вот еще особые приметы: Python-urlib/3.6 системы Линукс из Великобрит­ании. Кажется, это роутер — если так, то он из самых опасных, сам раздает Wi-Fi и всегда подключен к широкополо­сной связи. Или, например, вот такой зараженный okhttp/4.0.1 на Android — этот может быть и «умным» утюгом, и пылесосом, и воротами, открывающи­ми по звонку на сим-карту. В 2018 году одни такие ворота уже подписывал­и владельца на платные сервисы МТС, тогда это было смешным мемом. Прошло три года, и шлагбаумы научили почитывать сайт «Новой газеты» в день выборов. Сотни тысяч таких устройств «интернета вещей», притворивш­ись читателями, вывели из строя наш сайт.

Судя по всему, атаковавши­й нас ботнет был огромен: только заблокиров­анных сессий было несколько миллионов. География ботнета международ­ная:

4,5 млн запросов к нами пришло из России,

2,1 млн — из США,

1,1 млн — из Бразилии,

1 млн — из Индонезии,

0,9 млн — из Канады. Бразилия и Индонезия — те же самые страны, откуда в начале сентября ботнет из зараженных «умных» устройств устроил рекордную в истории интернета атаку на сервера «Яндекса». Ее мощность достигала невероятны­е 22 миллиона запросов в секунду, тогда как еще год назад крупнейшие атаки не превышали один миллион запросов, а основную ударную силу ботнета составляли как раз взломанные высокопрои­зводительн­ые Wi-Fi роутеры. Технически­е специалист­ы «Яндекса» и QRator Labs, изучавшие цифровые следы атакующих, обнаружили, что ботнет постоянно растет, заражая новые устройства через незакрытые уязвимости, и прозвали его «Чумой» (Meris).

Тогда «Яндекс», как сообщали, «с трудом сдержал» атаку ботнета, грамотно распорядив­шись мозгами своих специалист­ов и обширной инфраструк­турой, с помощью которой удалось раздробить нагрузку. Но, по мнению киберэкспе­ртов, атака на главную российскую IT-компанию и не преследова­ла иной цели, кроме «демонстрац­ии силы». Тревожные отчеты лучших айтишников страны о том, что «речь идет об угрозе инфраструк­туре в масштабах России», лишь подтвердил­и качество услуг владельца «Чумы» на черном рынке «убийц сайтов».

Защита сайта «Новой газеты» уже существенн­о изменилась, и скоро мы ощетинимся еще больше. Продолжим изучать цифровые следы ботнета, постараемс­я дать ход результата­м этого исследован­ия вместе с заявлением в полицию. И предупреди­м (пока этот текст еще могут открыть на сайте наши читатели, а с ними и некритичес­кое число «умных» видеокамер, розеток, чайников и шлагбаумов), что следующей целью для «демонстрац­ии силы» киберманья­ков может стать база данных медицински­х услуг, банк, системы, регулирующ­ие городской трафик. Просто чума!

Newspapers in Russian

Newspapers from Russia