«Яндекс» как подменили
«Яндекс» и ряд других интернет-холдингов подверглись мощной сетевой атаке, выяснил РБК. Задействованная в ней технология опасна тем, что использует уязвимость в системе блокировки сайтов Роскомнадзора
Как атаковали интернет-холдинги
Несколько дней назад злоумышленники провели DNS-атаки (подмену записи в Domain Name System, системе доменных имен) на ряд крупных российских ресурсов, одним из основных пострадавших стал «Яндекс». Об этом РБК рассказали источник в одной из отраслевых ассоциаций, технический специалист крупного оператора связи и источник в самом интернет-холдинге.
«Это [была] эксплуатация существующих недостатков в механизме применения списка блокировок. Пострадать от подобных действий могут любая компания и любой сайт, не только «Яндекс», — сообщил РБК представитель пресс-службы «Яндекса», подтвердив инцидент.
DNS-атака заключается в использовании уязвимости в действующей в России системе блокировки сайтов, которую курирует Роскомнадзор. В ходе атаки злоумышленник, который владеет доменом, включенным в реестр запрещенных сайтов, может связать его с IP-адресом любого другого сайта и таким образом добиться его блокировки.
В результате атаки ряд небольших операторов заблокировал доступ к некоторым IP-адресам «Яндекса», а крупные операторы, использующие для блокировки контента системы глубокой фильтрации трафика (Deep Packet Inspection, DPI), были вынуждены пропускать весь трафик до сервисов «Яндекса» через них, что значительно снизило скорость доступа к ресурсам для пользователей, пояснил собеседник в операторе связи и подтвердил источник в «Яндексе». DPI предназначена для глубокого анализа всех проходящих через эту систему пакетов трафика, что позволяет определить их принадлежность определенному веб-приложению или сайту и при необходимости запретить доступ к ним.
По словам одного из собеседников РБК, технические специалисты «Яндекса» отражали атаку в течение нескольких суток. «Блокировки сайтов удалось избежать, но атака не прошла незамеченной: активные пользователи сервисов компании заметили снижение скорости доступа к ним», — рассказал источник в самой компании.
Технический специалист крупного оператора связи утверждает, что атака также была нацелена на некоторые СМИ, в частности на РБК. Digital-директор b2c-направления РБК Кирилл Титов подтвердил, что компания зафиксировала атаку 11 марта: «Наблюдались проблемы с сетевой доступностью площадок РБК, снизилась скорость доступа к сайтам компании для части аудитории. Злоумышленники воспользовались уязвимостью, позволяющей приписать домену из реестра запрещенных сайтов IP-адрес любого другого добропорядочного ресурса. Блокировок удалось избежать, так как крупные провайдеры теперь используют более интеллектуальные системы блокировки контента, в частности DPI, однако мы полагаем, что прохождение пакетов от пользователей до сайта через данные системы сказывается на скорости доступа до него».