Миллиард запросов в сутки В середине апреля «Медуза» пережила самую мощную DDoS-атаку в своей истории. И это еще не конец
Миллиард запросов в сутки В середине апреля «Медуза» пережила самую мощную DDoS-атаку в своей истории. И это еще не конец
В середине апреля 2024 года «Медуза» стала целью сильнейшей DDoS-атаки за всю историю существования издания. Ее организаторы не просто пытались помешать работе нашего сайта, — они хотели сделать так, чтобы «Медузу» больше нельзя было читать. И хотя у нас нет прямых доказательств, мы предполагаем, что за этой атакой, как и за прошлыми, стоят российские власти. Наши технические партнеры, фонд Qurium , подготовили отчет с первыми данными об атаке. «Медуза» публикует пересказ этого отчета.
«Медуза» уже рассказывала, что в феврале и марте 2024 года — перед «выборами» президента РФ — наше издание подверглось атакам сразу по множеству направлений, от попыток взлома журналистов до многочисленных DDoS-атак. После выборов эти попытки не прекратились, а в случае с DDoS-атаками вышли на новый уровень.
DDoS-атаки работают так: злоумышленники направляют огромное количество запросов на сервера жертвы, стараясь перегрузить их настолько, чтобы запросы от нормальных пользователей не могли к ним «пробиться». Как результат, в случае, например, атаки на сайт СМИ, у читателей материалы начинают загружаться значительно медленнее — или перестают открываться вообще.
Первая атака
В первые недели после «выборов» президента РФ мы зафиксировали несколько «пробных» DDoS-атак небольшой мощности, которые, судя по всему, нужны были для поиска наиболее уязвимых мест в нашей инфраструктуре.
Вечером 15 апреля начался основной удар. Уязвимым местом оказался поисковый движок на сайте «Медузы»: если сами материалы или изображения из них мы можем хранить на быстрых дублирующих серверах, то обращение к поисковому движку ведет к запросам напрямую к основным серверам издания — чтобы получить наиболее свежие результаты.
Эта DDoS-атака длилась 48 часов. За это время наши сервера получили более двух миллиардов запросов — это в несколько сотен раз больше, чем типичное количество запросов, которые генерирует наша аудитория. Текстовая информация о запросах во время атаки (логи) занимает около трех терабайт данных.
Анализ Qurium показал, что атака совершалась через ботнет, использующий либо зараженные вирусами домашние компьютеры, либо взломанные устройства «умного дома» с доступом в интернет. Всего было зафиксировано 6300 IP-адресов, которые отправляли запросы с разной интенсивностью — от нескольких миллионов запросов в час до нескольких тысяч. В Qurium полагают, что это значит, что у ботнета нет никакого внутреннего контроля за мощностью атаки — каждое устройство посылало запросы так активно, как только могло.
Распределение IP-адресов, участвующих в атаке, по странам выглядит так: больше 25 процентов из них было из Бразилии, еще почти 20 процентов — из США, а остальные — из стран Юго-Восточной Азии, Южной Америки и Ближнего Востока.
Вторая атака
Вторая DDoS-атака началась утром 18 апреля. Она выглядела совсем иначе как по используемым технологиям, так и по своему «рисунку». Новая атака длилась один час, но использовала в 10 раз больше IP-адресов, чем во время предыдущей.
В этот раз для атаки использовались IPv6-сети и инфраструктура провайдеров резидентных прокси. Такие провайдеры позволяют замаскировать ваш трафик под трафик простых пользователей из других стран (в отличие от прокси, которые ведут запросы через серверы в дата-центрах).
Qurium выделил три компании-провайдера резидентных прокси, чьи мощности использовались в атаке: Plain Proxies, RapidSeedbox и MIN proxy. В организации отмечают, что похожая инфраструктуру они наблюдали в атаках на сайты венгерских СМИ в октябре 2023 года.
Qurium связалась с Plain Proxies 18 апреля, когда произошла атака. Компания ответила на следующий день (атака на тот момент уже прекратилась): там заявили, что не видят «никакого трафика на этот ресурс в данный момент», но заблокируют все будущие запросы к сайту «Медузы».
При этом в компании усомнились, что это была DDoS-атака, поскольку 250 тысяч запросов, поступивших с одного IPv6-адреса, «не являются чем-то необычным в мире прокси», — и пообещали связаться с клиентом для уточнения, по какой причине было сгенерировано столько запросов. Кто был клиентом Plain Proxies и что он ответил, неизвестно.
На момент публикации этой заметки мощные атаки на инфраструктуру «Медузу» прекратились, но мы видим новые «пробные» атаки — по всей видимости, злоумышленники ищут новые уязвимые места.
Кто стоит за этими атаками
Мы не знаем. Но мы знаем, что это очень дорогостоящая атака, и ее цель — не просто помешать работе нашего сайта и мобильного приложения, а сделать так, чтобы наши ресурсы перестали работать. Такая цель может быть только у властей России. И они будут продолжать свои попытки.