Китай нацеливает на Интернет «Великую пушку»

«Пушка» — не расширение межсетевого экрана, а самостоятельный инструмент перехвата трафика на индивидуальные IP-адреса, устраивающий атаки по схеме «человек посередине» (man on the middle), — он может произвольно подменять незашифрованный контент, передаваемый между веб-сервером и конечным пользователем. По словам исследователей, «пушка» используется для манипуляций с трафиком систем, находящихся за пределами Китая, путем тайного программирования браузеров на осуществление массивных DDoS-атак.

Атака на GitHub проводилась по методу инъекции вредоносного кода JavaScript в браузеры, соединяющиеся с китайской поисковой системой Baidu. Когда «Великая пушка» регистрирует запрос на получение определенных файлов Javascript с одного из инфраструктурных серверов Baidu, она, во всей видимости, выполняет одно из двух действий: запрос либо передается на серверы Baidu, что происходило более чем в 98% случаев, либо он отбрасывается до достижения Baidu, а в ответ запрашивающему пользователю отправляется вредоносный скрипт — это происходило примерно в 1,75% случаев, говорится в докладе исследователей.

При этом запрашивающие пользователи находились за пределами Китая и просматривали какой-либо сайт, пользующийся инфраструктурным сервером Baidu, — например, отображающий рекламу с помощью баннерной платформы китайской компании. В ходе DDoS-атаки на GitHub, проводимой с помощью вредоносного скрипта, к ней подключались получившие его пользователи.

К аналогичным выводам пришли специалисты из Electronic Frountier Foundation, тоже анализировавшие атаку. По их сведениям, она явно была организована кем-то, у кого был доступ к магистральным маршрутизаторам в Китае, и стала возможной только благодаря тому, что размещаемый на сайтах скрипт счетчика Baidu по умолчанию не использует шифрование. Если бы протокол HTTPS использовался шире, атаку провести бы не удалось, полагают в EFF.

По утверждению авторов доклада, есть убедительные свидетельства в пользу того, что «пушкой» орудует китайское правительство. Авторы проверили два международных канала связи с Китаем, принадлежащие двум разным китайским провайдерам, и пришли к выводу, что «Великая пушка» размещается там же, где и «Великий межсетевой экран». Это дает веские основания предполагать причастность госструктур, считают они.

Сам процесс осуществления DDoS-атаки технически незамысловат, но «Великая пушка» может применяться не только для этого. Несложное изменение в настройках системы позволяет переключить ее из режима работы с трафиком к определенному IP-адресу на перехват в обратном направлении. По словам исследователей, это позволило бы доставлять вредоносы на любой компьютер за пределами Китая, общающийся с любым китайским сервером, на котором не используется криптографическая защита.

Похожая система под названием QUANTUM применяется американским Агентством национальной безопасности и британскими разведслужбами для адресной доставки эксплойтов, утверждают исследователи.

«Внедрение ‘Великой пушки’ указывает на предельное ужесточение государственного контроля над информацией — фактически в норму возводится широкое применение инструмента атаки в целях соблюдения цензуры силами ничего не подозревающих пользователей», — пишут докладчики, добавляя, что их выводы указывают на необходимость как можно скорее заменять унаследованные протоколы Web, такие как HTTP, на их криптографически защищенные аналоги вроде HTTPS.