Пятидневная DDoS-атака на GitHub, вызвавшая перемежающиеся отказы на сервисе обмена программными кодами, является побочным эффектом более ранней операции правительства Китая против GreatFire.org, онлайн-проекта активистов, выступающих против цензурирования китайского сектора Интернета.

Согласно заявлению GreatFire, кибератака на их инфраструктуру началась 17 марта и задействовала те же техники, что применялись и в нападении на GitHub. В отличие от типовых DDoS, атакующие не использовали специализированные инструменты. В случае с GitHub, как и в случае с GreatFire, они перехватывали запросы ничего не подозревающих пользователей и направляли их на свои мишени. Перехват трафика при этом осуществлялся с помощью JavaScript-кода Baidu Web Analytics, размещенного на тысячах сайтов. Когда пользователь заходит на страницу с этим кодом, запрос обычно направляется в сеть Baidu, размещенную на территории Китая.

Анализ, проведенный исследователями из шведской компании Netresec AB, показал, что инициатором перехвата Baidu-трафика было китайское правительство. «Обращение браузера к JavaScript Baidu детектируется пассивной инфраструктурой Китая на входе в национальный сегмент Интернета, — поясняют шведы. — В ответ генерировалось поддельное сообщение, и отнюдь не скриптом Baidu Analytics. Этот фейковый ответ возвращал вредоносный JavaScript, вынуждающий браузер пользователя циклично загружать две конкретные страницы с GitHub.com».

Представители GreatFire подтвердили, что эта тактика практически идентична той, что применялась в более ранней мартовской атаке на их сайт. «Посещая тысячи сайтов, размещенных в Китае и за его пределами, миллионы интернет-пользователей по всему миру загружали вредоносный код, использующийся для проведения кибератак против сайтов GreatFire.org, — гласят результаты анализа, проведенного GreatFire. — Код Baidu Analytics (h.js) оказался одним из файлов, произвольно подмененных вредоносным кодом, который инициировал эти атаки. Baidu Analytics, как и Google Analytics, используется тысячами сайтов. От атак вредоносного кода не был застрахован ни один посетитель сайтов, использующих Baidu Analytics или другие ресурсы Baidu».

Основная причина обеих DDoS-атак, по всей видимости, кроется в неприятии китайским правительством контента, публикуемого на GreatFire. Китайские активисты предлагают пользователям инструменты, помогающие обойти цензуру, и проводят мониторинг цензурируемых сайтов и ключевых слов на территории Китая.

Когда дидосеры начали атаковать веб-сайт GreatFire.org, борцы за свободный Интернет перенесли часть контента на зеркала и перенаправили пользователей на две новые страницы. Эти URL и стали мишенью в более поздней DDoS-атаке на GitHub. Инструментом при этом служил вредоносный JavaScript, осуществлявший перехват Baidu-трафика, чтобы направить его на страницы GitHub.

На протяжении всей атаки служба безопасности GitHub прилагала все усилия, чтобы смягчить ее последствия для пользователей, хотя и с переменным успехом. Новейшие записи о статусе служб GitHub гласят, что все системы работают нормально.

Представители GreatFire со своей стороны опубликовали детальный отчет об атаке на их сайт, в котором заключили, что в обоих случаях инициатором DDoS является правительство Китая.

«В первичной блог-записи мы воздержались от обвинений за отсутствием доказательств, — пишут активисты в своем блоге. — Теперь, при наличии свидетельств технической экспертизы и результатов подробного исследования атаки на GitHub, мы можем с уверенностью заявить, что лицом, ответственным за проведение обеих атак, является администрация киберпространства Китая (САС)».

Категории: DoS-атаки, Аналитика