Στιγμιότυπο οθόνης από το LIHKG κατά την διάρκεια της επίθεσης DDoS.
Το LIHKG [1], ένα φόρουμ τύπου Reddit στο Χονγκ Κονγκ, υπέστη επίθεση του μεγάλου κανονιού της Κίνας [2], ένα εργαλείο που χρησιμοποιείται για την εκτόξευση κατανεμημένων επιθέσεων άρνησης υπηρεσιών [3] (DDoS) εισάγοντας δέσμες ενεργειών που αναστέλλουν τεράστιες ποσότητες επισκεψιμότητας ιστού και τις ανακατευθύνει σε στοχευμένες ιστοσελίδες.
Το LIHKG υπήρξε ένα σημαντικό φόρουμ για τη διανομή πληροφοριών και τη συζήτηση στρατηγικής σχετικά με τις διαμαρτυρίες κατά του νομοσχεδίου της έκδοσης του Χονγκ Κονγκ από τον Μάρτιο. Η επίθεση ξεκίνησε πριν από μία πορεία της 31ης Αυγούστου [4], που χαρακτηρίστηκε “παράνομη” από την αστυνομία του Χονγκ Κονγκ.
Σύμφωνα με επίσημη δήλωση που δημοσίευσε [5] το φόρουμ, μεταξύ 08:00 και 23:59 στις 31 Αυγούστου, ο ιστότοπος έλαβε συνολικά 1,5 δισεκατομμύρια αιτήματα. Στην κορυφή της επίθεσης, το φόρουμ έλαβε 260.000 αιτήσεις ανά δευτερόλεπτο και 6,5 εκατομμύρια μοναδικούς επισκέπτες ανά ώρα. Δεδομένου ότι η κλίμακα της επίθεσης ήταν πρωτοφανής, ο διαχειριστής του φόρουμ πιστεύει ότι η ενέργεια είχε κρατική υποστήριξη:
Έχουμε λόγους να πιστεύουμε ότι υπάρχει εξουσία, ή ακόμα και εθνική εξουσία, πίσω από τέτοιες επιθέσεις, καθώς botnet από όλο τον κόσμο χρησιμοποιήθηκαν στο ξεκίνημα αυτής της επίθεσης.
Η ομάδα ασφαλείας αποκατέστησε γρήγορα τον ιστότοπο με προστατευτικό μέτρο – ένα CAPTCHA στη σελίδα εισαγωγής. Ωστόσο, η εφαρμογή για κινητά του LIHKG διακόπηκε για μερικές ημέρες και εξακολουθεί να είναι ασταθής.
Καθώς οι ειδήσεις εξαπλώθηκαν, τοπικοί και υπερπόντιοι κύκλοι τεχνολογίας έφτασαν να βοηθήσουν το φόρουμ για να μάθουν από πού προέρχεται η επίθεση. Όπως αναμενόταν, το DDoS επαναπροσανατολίστηκε από ένα σενάριο από τις κινεζικές εταιρείες:
China wrote a script that is made for DDoSing LIHKG.
In the script they included a feedback adress (116.255.226.154).
If you look up who is that, you will find Chinese companies.
This explains who caused the downage today.
Script: https://t.co/pyyl12bFCx [6]#HongKong [7] #LIHKG [8] pic.twitter.com/RzIEVRV1LT [9]— throwawayconstant (@throwawayconst) August 31, 2019 [10]
Η Κίνα έγραψε ένα σενάριο που φτιάχτηκε για την επίθεση DDoS στο LIHKG.
Στο σενάριο περιέλαβαν μια διεύθυνση για να στέλνονται σχόλια (116.255.226.154).
Εάν ανακαλύψετε ποιος κρύβεται από πίσω, θα βρείτε Κινεζικές εταιρείες.
Αυτό εξηγεί ποιος προκάλεσε την υποβάθμιση σήμερα.
Σενάριο:
Σύμφωνα με το LIHK, η μαζική κίνηση στο φόρουμ ανακατευθύνθηκε μέσω των κινεζικών διαδικτυακών εταιρειών Qihucdn.com και Baidu.
Το αρχείο καταγραφής πληροφοριών τομέα δείχνει ότι το κράτος / περιφέρεια καταχώρησης του Qihucdn.com είναι το Πεκίνο και ο διακομιστής ονομάτων είναι το 360safe.com, το ίδιο με το Qihoo 360 [11], μια κορυφαία κινεζική εταιρεία πλατφόρμας διαδικτύου που ισχυρίζεται ότι “προστατεύει τους υπολογιστές και τις κινητές συσκευές των χρηστών από κακόβουλο λογισμικό και κακόβουλους ιστοτόπους” . Η εταιρία ήταν διαβόητη για κακόβουλο λογισμικό λευκών σελίδων [12].
Δεδομένου ότι το προϊόν προστασίας της Qihoo χρησιμοποιείται ευρέως από Κινέζους netizens και μικρές εταιρείες της Κίνας, οι χρήστες από την LIHKG κατηγόρησαν [13] την εταιρεία ότι πραγματοποίησε την επίθεση DDoS εισάγοντας δέσμη ενεργειών ανάδρασης μέσω της “υπηρεσίας ασφαλείας” της.
Ομοίως, η Baidu, η μεγαλύτερη μηχανή αναζήτησης στην Κίνα, ανακατευθύνει την κυκλοφορία στο LIHKG. Ο ιστότοπος συμμετείχε επίσης σε μια άλλη μαζική επίθεση DDoS με στόχο τη Github [14] το 2015.
Το Μεγάλο Κανόνι
Τεχνικές αναφορές σχετικά με το περιστατικό Gidub DDoS του 2015 εξήγησαν [15] ότι η επίθεση ξεκίνησε μέσω κάποιας συσκευής που παρέσυρε αιτήματα ιστού που εισήλθαν στην Κίνα από άλλα μέρη του κόσμου και έπειτα αντικατέστησε το περιεχόμενο με κώδικα JavaScript που προσέβαλλε τη στοχευόμενη ιστοσελίδα. Συγκεκριμένα, στην περίπτωση του Github, ανίχνευσε τα αναλυτικά στοιχεία της Baidu και ανακατεύθυνε την κυκλοφορία στο Github και ως εκ τούτου η επίθεση φάνηκε να έρχεται “από παντού”.
Μια τέτοια επιθετική επίθεση χαρακτηρίστηκε ως “το Μεγάλο Κανόνι” από το Citizen Lab, ένα ερευνητικό κέντρο ανθρωπίνων δικαιωμάτων με θέμα τις Τεχνολογίες της Πληροφορίας και της Επικοινωνίας στο Πανεπιστήμιο του Τορόντο.
Το ερευνητικό κέντρο διαπίστωσε το 2015 [16] ότι το Μεγάλο Κανόνι μπορεί να “χειραγωγήσει την κυκλοφορία των ‘παριστάμενων’ συστημάτων εκτός Κίνας, προγραμματίζοντας σιωπηλά τους browsers να δημιουργήσουν μια τεράστια επίθεση DDoS”. Η επίθεση είναι παρόμοια με το σύστημα QUANTUM της NSA [17], ικανό να “στοχεύει σε οποιονδήποτε ξένο υπολογιστή που επικοινωνεί με οποιονδήποτε ιστότοπο της Κίνας που δεν χρησιμοποιεί πλήρως το HTTPS”.
Ο εμπειρογνώμονας του κυβερνοχώρου Chris Doman εξέτασε τη δέσμη ενεργειών Java της επίθεσης στο LIHKG [18] και επεσήμανε στο Twitter:
It looks like the attackers upgraded the code during the attack to check for Cloudflare and target more URLs: pic.twitter.com/2wqP9gj7pR [19]
— chris doman (@chrisdoman) September 2, 2019 [20]
Φαίνεται ότι οι επιτιθέμενοι αναβάθμισαν τον κώδικα κατά τη διάρκεια της επίθεσης για να ελέγξουν το Cloudflare και να στοχεύσουν περισσότερες διευθύνσεις URL
Ενώ η LIHKG έχει μπλοκάρει όλες τις IP από την ηπειρωτική Κίνα, όταν κάποιος από το εξωτερικό επισκέπτονταν το Baidu ή το Qihoo360 που φιλοξενείται στην ηπειρωτική Κίνα, το σενάριο θα τους έδειχνε στο LIHKG και ως εκ τούτου το φόρουμ αντιμετώπισε μια τεράστια επίθεση DDoS από όλο τον κόσμο:
LIHKG enduring DDOS attack on a global scale. #followbackhk [21] #FreeHK [22] pic.twitter.com/FKxFJNrEEf [23]
— The Chap?? (@DudeChapDude) August 31, 2019 [24]
Το LIHKG άντεξε επίθεση DDOS σε παγκόσμια κλίμακα.
Το 2015, όταν το Github δέχθηκε επίθεση, η Baidu αρνήθηκε [25] τη συμμετοχή και την ευθύνη της, καθώς η επίθεση ξεκίνησε μέσω μιας συσκευής man-in-the-middle. Ποιος είναι σε θέση να ελέγξει τη συσκευή που είναι σε θέση να εισαγάγει δέσμες ενεργειών για να ανακατευθύνει την κυκλοφορία ιστού από την Κίνα στο στόχο; Το δάχτυλο δείχνει προς την κινεζική κυβέρνηση της ηπειρωτικής χώρας, η οποία ελέγχει επίσης το Μεγάλο Τείχος Προστασίας, που εμποδίζει ευαίσθητες ιστοσελίδες και φιλτράρει ευαίσθητες λέξεις-κλειδιά.
Αυτό που συνέβη με το LIHKG δεν είναι ένα μεμονωμένο περιστατικό, η πλειοψηφία των ανεξάρτητων μέσων ενημέρωσης και των φόρουμ πολιτών στο Χονγκ Κονγκ υποβάλλονται σε επιθέσεις DDoS σε κρατικό επίπεδο από την ηπειρωτική Κίνα. Το 2014, ο δικτυακός τόπος ψηφοφορίας υπό την ηγεσία των πολιτών και ο δικτυακός τόπος ειδήσεων Apple Daily [26] υποβλήθηκαν σε επιθέσεις DDoS, σε μια προσπάθεια να σιωπηθούν οι φωνές που υποστηρίζουν την κεντρική εκστρατεία Occupy και ένα δημοψήφισμα που επιδίωξε να επιφέρει αλλαγή στο τοπικό εκλογικό σύστημα. Ωστόσο, οι τοπικές αρχές δεν είχαν διενεργήσει έρευνες για επιθέσεις εναντίον αμάχων. Τώρα, η πλειοψηφία των τοπικών ανεξάρτητων μέσων μαζικής ενημέρωσης και των ακτιβιστικών ιστοτόπων πρέπει να αποκλείσουν τα IP από την ηπειρωτική Κίνα και να εγγραφούν σε δαπανηρά σχέδια ασφάλειας για να είναι προσβάσιμα στους χρήστες του Διαδικτύου.
Όσον αφορά τον τελευταίο γύρο επιθέσεων κατά του LIHKG, πολύ πιθανό, κανένας φορέας να μην είναι υπεύθυνος για την κακόβουλη πράξη. Οι netizens μπορούν να λάβουν μόνο ένα πολύ παθητικό προστατευτικό μέτρο για να αποτρέψουν την παροχή βοήθειας σε παρόμοιες επιθέσεις:
Have seen DDoS attacks on @lihkg_forum [27] originating from US devices. People need to be vigilant about cyber security. Don't download/install anything from unknown sources, avoid visiting China-affiliated websites (includes shopping, comics, etc.) #StandWithHongKong [28] #LIHKG [8]
— Humanity First (@alittletyrant) September 4, 2019 [29]
Έχουμε δει τις επιθέσεις DDoS στο @lihkg_forum που προέρχονται από συσκευές των Η.Π.Α. Οι άνθρωποι πρέπει να επαγρυπνούν για την ασφάλεια στον κυβερνοχώρο. Μην κατεβάζετε / εγκαθιστάτε τίποτα από άγνωστες πηγές, αποφύγετε την επίσκεψη σε ιστοσελίδες συνδεδεμένες με την Κίνα (συμπεριλαμβανομένων σελίδων για ψώνια, κόμικς κλπ.)