Несколько крупных интернет-компаний, в том числе «Яндекс» и РБК, подверглись масштабной сетевой атаке на свои ресурсы. Она стала возможна из-за уязвимости в системе блокировки сайтов Роскомнадзора, сообщает РБК. Источники издания рассказали, что злоумышленники провели DNS-атаки, то есть приписали IP-адреса незапрещенных сайтов к доменам заблокированных страниц.
Во время атаки несколько небольших операторов заблокировали доступ к некоторым IP-адресам «Яндекса», рассказали источники РБК. Крупные операторы пропускали трафик до серверов «Яндекса» через систему глубокой фильтрации трафика (DPI, используют для блокировки сайтов), из-за чего скорость доступа снизилась.
В «Яндексе» сообщили «Медузе», что не считают произошедшее атакой. «Это не атака, а эксплуатация существующих недостатков в механизме применения списка блокировок», — сказали в пресс-службе компании, отметив, что от таких действий может пострадать любой сайт.
Начало атаки на «Яндекс» и другие компании совпало по времени с митингом против изоляции интернета, прошедшим в Москве 10 марта, причем на «Яндекс» атака продолжалась несколько дней, говорят источники РБК. В пресс-службе «Яндекса» сообщили, что не видят в случившемся «корреляции с какими-либо событиями». На сайт РБК атаку совершили 11 марта, сообщил digital-директор B2C направления компании Кирилл Титов. Он связал произошедшее с уязвимостью системы блокировок Роскомнадзора.
Впервые «дыру» в системе блокировок сайтов обнаружили в июне 2017 года, когда с помощью этой уязвимости хакеры несколько дней блокировали доступ к популярным сайтам, в том числе к «Википедии», «Медузе» и сайтам крупных банков. За прошедшее время, по словам участников рынка, Роскомнадзор не устранил эту уязвимость. Сейчас доменные имена, попавшие в реестр запрещенных сайтов, продают в даркнете (скрытой части интернета) и эти данные используют для DNS-атак, рассказал РБК Александр Лямин, гендиректор компании Qrator Labs, борющейся с DDoS-атаками. Начиная с 2017 года спрос на списки запрещенных сайтов был достаточно высоким, сообщили в компании по раскрытию киберпреступлений Group-IB.
После атаки 2017 года Роскомнадзор запретил провайдерам самостоятельно вычислять IP-адреса, чтобы случайно не заблокировать сайты, которых нет в реестре запрещенных. Также провайдерам предложили применять DPI или блокировать IP-адреса, которые предоставляет сам Роскомнадзор. Кроме того, ведомство разработало «белые списки» сайтов, которые не подлежат блокировке. По данным «Роскомсвободы», от случайных блокировок решили защитить более двух тысяч государственных сайтов, а также несколько популярных частных ресурсов, в том числе «Яндекс», Facebook, «ВКонтакте», Google, Instagram и Twitter.
В «Яндексе» считают правильным создание «белых списков». «Но этого недостаточно. Необходимо сделать обязательным использование „белых списков“ всеми операторами связи на своей стороне при формировании списка ресурсов для блокировки», — сказал представитель компании.
Как хакеры использовали «дыру» в системе блокировок
DPI
Deep Packet Inspection — «глубокий анализ пакетов». Технология позволяет провайдерам во время анализа трафика выделять специфические пакеты, свойственные конкретным сайтам или приложениям, и закрывать доступ к ним.
DNS
Domain Name System — «система доменных имен», которая сопоставляет IP-адреса и домены ресурсов. С помощью запроса к DNS-серверам можно узнать IP-адрес сайта или устройства, зная его URL.