Когда в середине апреля на работающий в изгнании российский новостной сайт «Медуза» обрушился поток интернет-трафика, это вызвало тревогу среди сотрудников, поскольку привело к блокировке издания более чем на четыре часа и ненадолго сделало сайт недоступным для некоторых читателей. Это была крупнейшая распределенная атака типа «отказ в обслуживании» (DDoS) за 10-летнюю историю «Медузы».
«Мы пытались найти решения… все, чтобы продолжать писать новости», — рассказал КЗЖ Павел Манылов, ведущий инженер-программист сайта. «Наши коллеги сказали, что на сайте выдается сообщение об ошибке, а система управления контентом не работает должным образом. Это произошло из-за огромного трафика, что было чем-то новым для нас».
Масштаб нападения был не единственной его особенностью. В ходе кибератаки злоумышленники задействовали набор онлайн-инструментов, которые все чаще используются для атак на сайты СМИ по всему миру, сохраняя при этом личности преступников в тайне.
Для массового получения и направления онлайн-трафика злоумышленники часто используют комбинацию этих инструментов, в том числе:
- прокси-провайдеры, предлагающие доступ к IP-адресам, которые представляют собой уникальные номера, присваиваемые устройствам, подключенным к интернету;
- другие торговые площадки, где IP-адреса сдаются в аренду или перепродаются; и
- центры обработки данных, которые размещают и маршрутизируют онлайн-трафик.
Эксперты рассказали КЗЖ, что подобные инструменты, открыто предлагаемые коммерческими компаниями, могут существенно усложнить защиту от кибератак. Их использование, похоже, является частью новой стратегии цензуры, которая представляет собой серьезную транснациональную угрозу свободе прессы и доступу к информации.
«[СМИ], которые пытаются делать сильную независимую журналистику, но могут не иметь ресурсов для своей защиты, подвергаются большому риску быть уничтоженными DDoS-атаками», — сказал в беседе с КЗЖ Даг Мэдори, директор по интернет-анализу компании Kentik, занимающейся мониторингом глобальной сети.
Атаки на прокси-сервис: «Вам действительно нужно думать быстро»
Эми Бруйетт, директор по правозащитной деятельности Международного института прессы (IPI), базирующейся в Вене глобальной организации по защите свободы прессы, рассказала КЗЖ, как сперва подумала, что веб-сайт организации взломали, когда в начале сентября 2023 года в результате DDoS-атаки он был отключен на три дня. Момент был жутковатым: незадолго до этого организация опубликовала доклад о подобных кибератаках, направленных против более чем 40 венгерских новостных сайтов.
Злоумышленник, чьей мишенью был IPI, использовал услуги прокси-провайдеров, которые по определению не являются вредоносными; их услуги используются для онлайн-исследований, безопасности и защиты конфиденциальности. Но их также использовали в менее благих целях. В марте французская телекоммуникационная компания Orange выступила с предупреждением о том, что прокси-провайдеры являются частью «финансово мотивированной экосистемы киберпреступности».
«Вам действительно нужно думать быстро», — сказал КЗЖ Жарко Йович из KontraBit Development, которого IPI наняла для защиты своего сайта. Он описал, как злоумышленники активизировали свои атаки в ответ на его усилия по выявлению и блокированию вредоносного трафика: «Когда злоумышленники видят, что вы можете себя защитить… они начинают использовать прокси-сети».
Qurium, шведская некоммерческая организация, которая предоставляет хостинг веб-сайтам независимых СМИ и правозащитных групп, обнаружила, что атака на IPI, а также на несколько венгерских новостных сайтов стала «вооружением» сервисов прокси-провайдера White Proxies, также известного как White Solutions.
В ходе атаки на «Медузу» Qurium также выявила использование как минимум двух прокси-провайдеров: вьетнамского MIN Proxy и гонконгского RapidSeedBox.
Qurium не предоставляет хостинг для IPI или «Медузы», но сотрудничала с ними в расследовании атак.
КЗЖ отправил White Proxies электронное письмо с вопросами об использовании их услуг в DDoS-атаках, но ответа не получил.
«[Мы] немедленно уведомили клиента, который использовал наши диапазоны IP-адресов… [и] работали с ним вместе, чтобы немедленно заблокировать настоящего клиента, арендовавшего IP-адреса, с которых и шли атаки», — сообщил КЗЖ по электронной почте менеджер в RapidSeedBox Юрий Мешалкин, рассказывая о реакции компании на атаку против «Медузы», но отказался раскрыть информацию о клиенте. «У нас есть как автоматизированные, так и ручные системы мониторинга незаконной деятельности, включая DDoS-атаки», — сказал Мешалкин, добавив: «Мы не намерены работать с клиентами, которые используют наши IP-адреса для атак».
КЗЖ отправил электронные письма на адреса, указанные на веб-сайтах MIN Proxy, но в ответ получил только сообщения об ошибках. На вопросы, отправленные через приложение для обмена сообщениями на номер, указанный на странице компании в Facebook, не было получено прямого ответа; вместо этого адресат обвинил КЗЖ в «планировании мошенничества».
Другие медиа-сайты также подвергались аналогичным атакам: в октябре 2023 года злоумышленники воспользовались услугами двух прокси-провайдеров — американского RayoByte и основанного в России FineProxy, — чтобы заполонить филиппинский новостной сайт Rappler, который возглавляет нобелевский лауреат и член правления КЗЖ Мария Ресса. Ранее КЗЖ писал о том, что услуги RayoByte использовались в DDoS-атаках на сайты как минимум шести других СМИ по всему миру.
RayoByte и ее материнская компания Sprious подтвердили получение вопросов КЗЖ по электронной почте о кибератаках на Rappler, но на вопросы не ответили. В предыдущих ответах на вопросы КЗЖ об использовании их услуг в прошлых DDoS-атаках компания RayoByte сообщила, что «удалила злоупотребляющего пользователя» и выступила против онлайн-преследований, включая кибератаки. FineProxy не ответила на вопросы КЗЖ по электронной почте о причастности ее сервисов к атакам на Rappler и веб-сайты СМИ, освещающих события в Азербайджане.
Qurium сообщила, что обе компании отреагировали на сообщения о злоупотреблениях, занеся пострадавшие веб-сайты в черный список и «отказываясь помочь в выявлении клиента, стоящего за DDoS».
«Прокси-сервисы известны тем, что являются векторами DDoS-атак», — сказал Мэдори КЗЖ. «Если вы сможете масштабно анонимизировать множество интернет-соединений, вы можете сделать много плохих вещей».
Почему сложно бороться с DDoS-атаками с использованием прокси-серверов
Эксперты сообщили КЗЖ, что стандартные стратегии защиты от DDoS-атак включают анализ входящего трафика, чтобы определить какие IP-адреса перегружают сайт, откуда они приходят и определение того как наиболее эффективно их заблокировать, не блокируя настоящих посетителей сайта.
«Это как точные науки: быстро выяснить, что вы перегружены определенным типом трафика», — сказал Мэдори. «Возможно, вы сможете определить его по источнику».
Именно так и поступил Манылов в ответ на апрельскую атаку на «Медузу». «Это игра в кошки-мышки», — сказал он КЗЖ, вспоминая, как в определенные моменты во время атаки он ненадолго заблокировал все IP-адреса из Китая, Японии, Бразилии и США. Но этот процесс сортировки осложнился тем, что злоумышленники использовали «резидентные прокси», которые создают видимость стандартного трафика от реальных посетителей.
«Это адреса реальных людей или они связаны с реальными людьми», — сказал Манылов. «Я бы не сказал, что резидентные прокси сами по себе – это плохо, но такое использование, ну, явно нехорошо… они более опасны, чем обычная DDoS-атака».
Французская телекоммуникационная компания Orange заявила, что резидентные прокси являются «неотъемлемой частью многих вредоносных операций», включая DDoS-атаки. Microsoft также назвала их проблемой, отметив в январе, что «спонсируемый Россией субъект», нацеленный на ее системы, пытался скрыться, используя «резидентные прокси-сети, направляя свой трафик через огромное количество IP-адресов, которые также используются законными пользователями». Резидентные прокси-серверы также сыграли роль в деятельности киберпреступников, пресеченной международной правоохранительной операцией под руководством Министерства юстиции США в конце мая.
Прокси-провайдеры часто предлагают клиентам доступ к резидентным прокси, которые можно быстро обменять на новые, что создает различия в трафике и снижает вероятность того, что они будут помечены и заблокированы. Эта опция «ротации» может еще больше усложнить защиту веб-сайтов от DDoS-атак.
«Злоумышленник может пойти и получить целую кучу новых IP-адресов, чтобы использовать их для атаки против вас», — сказал Мэдори о доступе к ротационным прокси-серверам. «Если вы ранее идентифицировали [атаку] на основе IP-адреса источника, при следующей атаке эта информация будет уже бесполезна».
Вредоносные IP-адреса сложнее выявить и заблокировать, если они меняют местоположение каждые несколько месяцев, как это было в случае с трафиком, использованным в атаках на различные СМИ в августе и сентябре, сообщил КЗЖ технический директор Qurium Торд Лундстрем. По его словам, сложнее защитить веб-сайты от трафика, который перемещается таким образом, поскольку определяющие характеристики IP-адресов, такие как данные геолокации, могут сильно различаться и могут не обновляться.
«Вы видите невероятное количество IP-адресов на веб-сайте, и вам действительно сложно найти что-то общее между всеми этими адресами и заблокировать их», — сказал Йович о своем опыте защиты сайта IPI. «Это действительно тот момент, когда нельзя защититься обычными средствами».
Низкая стоимость и большое количество IP-адресов делают DDoS-атаки более опасными
Проведенный Qurium анализ атак на «Медузу» и IPI выявил еще одну проблему: вредоносный трафик включал IP-адреса из значительно расширенного набора дешевых адресов, известных как IP версии 6 (IPv6). Этот набор IP-адресов стал новейшим стандартом интернета в 2017 году для обслуживания растущего числа подключенных к интернету устройств в мире, поскольку старый набор адресов, известный как IP версии 4 (IPv4), почти полностью привязан к устройствам.
«У IPv6 гораздо больший пул… и они намного дешевле… их труднее отследить, чем IPv4», — сказал Йович. «Это хорошо для обычных людей, но это также хорошо и для нападающих».
Манылов считает, что IPv6 – это «будущее интернета», поскольку он позволит использовать экспоненциально большее количество интернет-адресов. Он добавил, что аренда миллионов IPv6-адресов «не будет вам практически ничего стоить» и может существенно затруднить блокирование DDoS-атак без блокировки настоящих читателей новостей. «Это серьезная угроза малым СМИ… [у которых] нет технологий и ИТ-специалистов», — добавил он.
Один эксперт по кибербезопасности отметил в разговоре с КЗЖ, что DDoS-атаки, от которых сложнее защититься из-за более широкого использования IPv6, могут создать дополнительные проблемы для онлайн-СМИ, пытающихся монетизировать журналистику. Новостные агентства будут стараться блокировать потенциально вредоносный трафик, и тем самым могут препятствовать тому, чтобы реальные читатели заходили на их сайты, а это ограничит их возможность зарабатывать деньги на просмотрах и рекламе.
Кибератаки могут дать подсказку о том, кто несет ответственность
Ни сотрудники атакованных сайтов, ни люди, их защищающие, не смогли точно определить кто же несет ответственность за атаки. Но анализ трафика позволяет выявить некоторые подсказки.
Защищая IPI, Йович узнал сообщение от злоумышленника: «HanoHatesU». Эта фраза была встроена во многие URL-адреса, используемые в качестве запросов на посещение сайта, и, по иронии судьбы, позволила ему успешно идентифицировать и фильтровать вредоносный трафик. Это было то же загадочное сообщение, которое можно было увидеть при атаках на некоторые венгерские сайты ранее в том же году, что указывает на связь между этими инцидентами.
Лундстрем также обнаружил закономерности. Прокси-провайдеры часто получают и маршрутизируют IP-адреса через другие компании, и Qurium сообщила, что услуги некоторых из тех же компаний, включая центры обработки данных, управляемые британской A1 Network Exchange, использовались в атаках на «Медузу», IPI и венгерские СМИ.
КЗЖ отправил электронное письмо Шакибу Хану, директору A1 Network Exchange, по публично указанным адресам фирмы и ее материнской компании HostCram, которую Хан возглавляет и которая зарегистрирована в США, но ответа не получил.
Для атаки на IPI аналогичным образом использовались услуги нескольких компаний, в том числе пяти, специализирующихся на аренде и перепродаже IP-адресов. Адреса, арендованные у одной из этих компаний — британской IPXO — фигурировали в DDoS-атаках в августе 2023 года, мишенью которых были сайты СМИ, освещающие новости в Сомали, Туркменистане и Косово. Лундстрем также заметил, что IP-адреса, использованные для атаки на IPI, были использованы в тот же день, 8 сентября 2023 года, в DDoS-атаке на филиппинский новостной сайт Bulatlat.
IPXO не ответила на вопросы КЗЖ об использовании IP-адресов, полученных через ее службу аренды, для атаки на IPI, но сообщила Qurium, что «проинформирует своего клиента, чтобы они могли заблокировать злоумышленника». После того, как КЗЖ написал об августовских атаках, IPXO заявила в электронном письме, что ожидает, что арендаторы ее IP-адреса «примут соответствующие меры для прекращения и предотвращения любых негативных и незаконных действий» и могут предпринять дальнейшие действия в зависимости от поведения арендатора. «У нас нет ни ресурсов, ни средств, ни полномочий для активного мониторинга и предотвращения незаконных действий со стороны арендаторов IP-адресов или их клиентов», — заявили в IPXO, добавив, что они проводят оценку истории арендаторов на предмет «вероятности злоупотреблений».
Лундстрем считает, что компании не должны защищать личности своих клиентов, которые используют их услуги для осуществления таких атак. До сих пор никто не сотрудничал таким образом, а некоторые даже скрывают использование подставных компаний, базирующихся в США.
Хотя у них нет доказательств, сотрудники «Медузы» полагают, что крупномасштабную атаку на их сайт заказало российское правительство. Это произошло всего за несколько дней до того, как российские власти возбудили дело против главы «Медузы» Галины Тимченко и двух других репортеров издания. Кибератаки часто происходят наряду с другими посягательствами на свободу и безопасность журналистов.
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций России, также известная как Роскомнадзор, не ответила на запрос КЗЖ о комментариях по поводу атак на «Медузу».
«Миссия журналистики — информировать людей, и есть много сил, которые хотят остановить это», — сказал Мэдори. «Они либо хотят угрожать журналисту, либо могут просто отключить источник журналистики. Это тоже работает».