Резонансная DDoS-атака, нарушившая работу GitHub в прошлом месяце, явилась частью более широкой операции, которую атакующие провели в несколько этапов, с тщательным тестированием и оптимизацией используемых техник и инструментов. Исследователи из Google мониторили мусорный трафик в течение нескольких недель и обнаружили, что злоумышленники использовали как подмену JavaScript, так и HTML-инъекции.

По свидетельству Google, данная DDoS-операция была запущена в начале марта и сперва походила на пробу пера: атакующие, по всей видимости, проверяли техники, которые собирались пустить в ход. С 3 по 6 марта они лишь пристреливались к своим мишеням и атаковали их по очереди и по одной за раз.

«Первая тестовая атака была направлена на 114.113.156.119:56789, число обращенных на этот ресурс запросов было умышленно ограничено, — пишет в блоге Google Нилс Провос (Niels Provos), специалист по обеспечению безопасности продуктов компании. — В период с 4 по 6 марта эти ограничения были сняты».

«Следующая фаза этой кампании пришлась на 10–13 марта, ее первая мишень размещалась на IP-адресе 203.90.242.126, — продолжает эксперт. — Пассивная проверка по DNS показала, что этот адрес используют узлы в домене sinajs.cn. 13 марта атака распространилась также на домен d1gztyvw1gvkdq.cloudfront.net. Вначале мусорные запросы подавались по HTTP, затем — по HTTPS. На следующий день атакующие начали действовать всерьез и долбили новую мишень, d3rkfw22xppori.cloudfront.net, посылая как HTTP-, так и HTTPS-запросы. Атаки на этот узел продолжались до 17 марта».

По завершении этой прелюдии атакующие, коих многие ассоциируют с правительством Китая, добавили еще несколько хостов к списку мишеней; все они используют CloudFront, облачный сервис Amazon. На этом этапе DDoS-операции тактика проведения атак была изменена.

«В какой-то момент на этом этапе хосты cloudfront начали отдавать редирект 302 на greatfire.org и другие домены, — констатирует Провос. — Подмена JavaScript прекратилась 20 марта, однако инъекции в HTML-страницы наблюдались по-прежнему. Модификация JavaScript нарушает функциональность оригинального контента, тогда как при внедрении HTML-кода этого не происходит».

Прицельная атака на GitHub началась лишь 26 марта; ее мишенью являлись два раздельных ресурса, на одном из них на тот момент размещался контент, перенесенный с сайта китайских активистов GreatFire.org. Второй атакуемый ресурс GitHub использовался под материалы New York Times, написанные на китайском языке. DDoS-атаки на эти GitHub-ресурсы не стихали до 7 апреля. По словам Провоса, такие атаки возможны, пока в Интернете существуют нешифрованные соединения.

«Если бы вся Сеть использовала шифрованный TLS-трафик, такие инъекции были бы невозможными, — комментирует эксперт. — Вот вам еще одна причина для перехода на шифрованные коммуникации с гарантией целостности передаваемого контента».

«К сожалению, защита от таких атак — непростая задача для оператора сайта, — отметил в заключение Провос. — В данном случае запросы, подаваемые с сайтов с помощью JavaScript, поступали последовательно, и замедление ответов позволило бы снизить совокупный мусорный трафик. Еще одним положительным моментом являются хорошо различимые внешние признаки атаки, что делает эту технику менее привлекательной для возможных подражателей».

Категории: DoS-атаки, Аналитика