Американские учёные исследовали китайскую Царь-пушку для DDoS, атаковавшую GitHub

В марте Roem.ru уже писал ^[1], что на GitHub ведётся мощная атака предположительно с использованием встроенного скрипта в Baidu Analytics (аналог одноимённого сервиса у Google) и Китайского Файрвола. Теперь версия наполовину подтверждена в исследовании ^[2] университетов Калифорнии, Беркли и Торонто: исследователи считают, что в атаке действительно прямо замешан китайский поисковик, однако Великий Файрвол здесь вовсе не при чём.

Технику, использованную в атаках на GitHub и GreatFire.org (некоммерческий сайт, предоставляющий зеркала для закрытых в Китае сервисов), исследователи назвали звучным термином Царь-пушка (Great Cannon). С помощью Пушки иностранный трафик, попадающий на китайские сайты, перенаправлялся на целевые сайты с помощью скриптов, встроенных в рекламу Baidu и другие страницы поисковика.

Несмотря на то, что сайты в целом крепко держались на ногах и уходили в офлайн лишь на краткие периоды, исследователи считают, что это довольно грозное оружие, так как невольными участниками DDoS атак становятся все пользователи, взаимодействующие со скриптом. Первоначально найденные улики в коде и инфраструктуре указывали на причастность Китайского Файрвола, но впоследствии исследователи пришли к выводу, что источником заражения была другая мощная система. Тем не менее исследователи заявляют, что из-за найденных сходств похоже, что обе системы созданы и управляются одной властью.

Новое китайское сетевое оружие технически очень похоже на те методы, которыми пользуются АНБ и их британские коллеги — они стали известны благодаря Эдварду Сноудену. Американская система также могла разворачивать трафик по желанию спецслужб на выбранные ресурсы в большом масштабе, разница лишь в целях: США использовала систему в целях ведения шпионажа, Китай — в целях агрессивной цензуры.

Тем временем Кайзер Куо, спикер Baidu, заявил, что у компании нет никаких проблем с безопасностью и атаки никак не связаны с его компанией.