Перейти к основному контенту
Технологии и медиа ,  
0 
Эксклюзив

На «Яндекс» зашли через Роскомнадзор

Чем опасна технология, использованная в сетевой атаке на интернет-холдинги
«Яндекс» и ряд других интернет-холдингов подверглись мощной сетевой атаке, выяснил РБК. Задействованная в ней технология опасна тем, что использует уязвимость в системе блокировки сайтов Роскомнадзора
Фото: Антон Белицкий / ТАСС
Фото: Антон Белицкий / ТАСС

Как атаковали интернет-холдинги

Несколько дней назад злоумышленники провели DNS-атаки (подмену записи в Domain Name System, системе доменных имен) на ряд крупных российских ресурсов, одним из основных пострадавших стал «Яндекс». Об этом РБК рассказали источник в одной из отраслевых ассоциаций, технический специалист крупного оператора связи и источник в самом интернет-холдинге.

«Это [была] эксплуатация существующих недостатков в механизме применения списка блокировок. Пострадать от подобных действий могут любая компания и любой сайт, не только «Яндекс», — сообщил РБК представитель пресс-службы «Яндекса», подтвердив инцидент.

DNS-атака заключается в использовании уязвимости в действующей в России системе блокировки сайтов, которую курирует Роскомнадзор. В ходе атаки злоумышленник, который владеет доменом, включенным в реестр запрещенных сайтов, может связать его с IP-адресом любого другого сайта и таким образом добиться его блокировки.

В результате атаки ряд небольших операторов заблокировал доступ к некоторым IP-адресам «Яндекса», а крупные операторы, использующие для блокировки контента системы глубокой фильтрации трафика (Deep Packet Inspection, DPI), были вынуждены пропускать весь трафик до сервисов «Яндекса» через них, что значительно снизило скорость доступа к ресурсам для пользователей, пояснил собеседник в операторе связи и подтвердил источник в «Яндексе». DPI предназначена для глубокого анализа всех проходящих через эту систему пакетов трафика, что позволяет определить их принадлежность определенному веб-приложению или сайту и при необходимости запретить доступ к ним.

По словам одного из собеседников РБК, технические специалисты «Яндекса» отражали атаку в течение нескольких суток. «Блокировки сайтов удалось избежать, но атака не прошла незамеченной: активные пользователи сервисов компании заметили снижение скорости доступа к ним», — рассказал источник в самой компании.

Технический специалист крупного оператора связи утверждает, что атака также была нацелена на некоторые СМИ, в частности на РБК. Digital-директор b2c-направления РБК Кирилл Титов подтвердил, что компания зафиксировала атаку 11 марта: «Наблюдались проблемы с сетевой доступностью площадок РБК, снизилась скорость доступа к сайтам компании для части аудитории. Злоумышленники воспользовались уязвимостью, позволяющей приписать домену из реестра запрещенных сайтов IP-адрес любого другого добропорядочного ресурса. Блокировок удалось избежать, так как крупные провайдеры теперь используют более интеллектуальные системы блокировки контента, в частности DPI, однако мы полагаем, что прохождение пакетов от пользователей до сайта через данные системы сказывается на скорости доступа до него».

Чем опасна DNS-атака

Об уязвимости в системе блокировки сайтов Роскомнадзора стало известно в июне 2017 года: тогда злоумышленники с ее помощью на протяжении нескольких дней блокировали доступ к сайтам крупных российских банков. С тех пор о проведении подобных атак более не сообщалось.

Участники рынка утверждают, что за прошедшие два года Роскомнадзор так и не устранил уязвимость в системе блокировки запрещенных в России ресурсов. «Наоборот, появился практически подпольный рынок доменов из реестра запрещенных сайтов, которые можно купить специально для проведения DNS-атаки, а подмена IP-адресов для таких доменов производится уже не вручную, а автоматизирована злоумышленниками», — говорит один из источников РБК.

Эту информацию подтвердил и гендиректор Qrator Labs Александр Лямин. «Доменные имена, попавшие в реестр запрещенных сайтов Роскомнадзора, в последнее время можно легко купить в даркнете (закрытом сегменте интернета. — РБК), в частности как раз для проведения DNS-атак. Они практически ничего не стоят, так как для каких-то иных целей бесполезны, а их количество практически неисчерпаемо. Соответственно, материальные вложения для проведения такой атаки нужны совсем небольшие», — сказал Лямин.

Заместитель начальника Центра реагирования на инциденты кибербезопасности компании Group-IB Ярослав Каргалев отметил, что начиная с 2017 года спрос на приобретение заблокированных доменов был достаточно высоким, в том числе искусственно подогреваемым в политических целях. Кроме того, по его словам, пользователи выкладывали списки свободных доменов, которые находятся в реестре запрещенных сайтов.

Фото: Christina Morillo / Pexels

Представитель пресс-службы «Яндекса» утверждает, что Роскомнадзор уже выработал несколько инструментов защиты компаний, в том числе «Яндекса», от случайного попадания в такие ситуации: ведомство предложило применять белые списки — перечень сайтов, которые ни при каких обстоятельствах нельзя блокировать. «Это правильный подход, но этого недостаточно. Необходимо сделать обязательным использование белых списков всеми операторами связи при формировании списка ресурсов для блокировки», — считает представитель «Яндекса».

Кроме этого, избежать блокировки сайтов в ходе прошедшей атаки помогло использование крупными операторами связи систем DPI, однако, по словам опрошенных экспертов, установка таких систем на весь канал и анализ абсолютно всего трафика являются дорогостоящими, а также замедляют доступ пользователей к сайтам.

«Теоретически возможно пропускать весь трафик через оборудование DPI, но стоимость будет космической и при аномальных нагрузках все равно могут возникать различные задержки. Я утверждаю, что просто анализировать абсолютно весь проходящий трафик не по карману сейчас никому. Все крупные операторы сейчас анализируют с помощью DPI только часть трафика, который они считают потенциально опасным. Кроме того, в будущем возможны сетевые атаки уже на сами DPI», — говорит гендиректор провайдера Diphost Филипп Кулин. По его словам, для крупного оператора связи установка DPI и даже частичный анализ трафика обойдутся в миллиарды рублей, а анализ абсолютно всего трафика обойдется еще дороже.

Есть ли у ​атаки политический подтекст

Кто мог стоять за атакой, представитель «Яндекса» не сообщил. Два собеседника РБК в операторах связи обратили внимание на то, что атака совпала по времени с митингом против изоляции Рунета, который прошел в Москве 10 марта.

Два источника​ РБК утверждают, что операторы связи и представители интернет-компаний на днях обсуждали эту атаку на закрытом заседании в Совете Федерации, посвященном законопроекту о суверенном Рунете, заявленная цель которого — обеспечить устойчивую работу российского сегмента интернета в случае отключения от мировой Сети.

Компании​ пытались донести до авторов законопроекта, что предлагаемая в документе передача полномочий по управлению Рунетом Роскомнадзору в случае какой-либо критической ситуации вызывает сомнения. В качестве примера они привели как раз тот факт, что на протяжении нескольких лет ведомство не может устранить уязвимость в системе блокировки сайтов и решить проблему с возникающими из-за нее сетевыми атаками.

Участники заседания раскритиковали работу систем DPI, отметив, что пропуск через них больших объемов трафика значительно замедляет доступ к сайтам, что было наглядно продемонстрировано на примере сервисов «Яндекса» в ходе прошедшей сетевой атаки, рассказали РБК два участника заседания. Установка подобных систем фильтрации трафика на сетях всех операторов связи также предусмотрена в тексте законопроекта о суверенном Рунете.

Как сообщили РБК в Роскомнадзоре, по требованиям ведомства операторы связи должны ограничивать доступ только по URL. «Если используется сетевой протокол HTTPS либо информация об URL отсутствует, то блокировка должна осуществляться по домену. Иные способы ограничения доступа к информационным ресурсам не допускаются», — добавили в федеральном агентстве.

Сейчас блокировка по IP операторами «де-факто практически не осуществляется», заявили в Роскомнадзоре. Данные об «избыточной блокировке» сайтов поступают в ведомство, но такие случаи малочисленны и «допускаются исключительно на сетях провайдеров с небольшим числом абонентов», атаки на крупные интернет-ресурсы «своевременно выявляются», добавили в ведомстве.

Представители МТС и «ВымпелКома» отказались от комментариев. Представитель «МегаФона» сообщил, что компания «не фиксировала никаких атак и проблем у абонентов по указанным причинам».​

Готовые квартиры в новых кварталах

В разных районах Москвы и области

Квартиры в столице 

с выгодой до ₽4,5 млн

Выгодные предложения 

для семей с детьми

Видовые квартиры 

в высотных башнях

Варианты с мебелью 

и встроенной техникой

Авторы
Теги
Магазин исследований Аналитика по теме "Интернет"
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.



 

Лента новостей
Курс евро на 14 декабря
EUR ЦБ: 109,01 (-1,47)
Инвестиции, 13 дек, 18:37
Курс доллара на 14 декабря
USD ЦБ: 103,43 (-0,52)
Инвестиции, 13 дек, 18:37
От квартиры до целого района: как сделать дома энергоэффективнымиТренды, 09:37
Военная операция на Украине. ОнлайнПолитика, 09:30
Мэр Николаева сообщил о повреждении инфраструктурного объектаПолитика, 09:30
Как развивается рынок цифровых финансовых активов в РоссииОтрасли, 09:22
Стартовали продажи седана для деловых людей Lada Aura: обзор автомобиляРБК и Автоваз, 09:10
В Москве подали заявление о банкротстве экс-супруги Николая БасковаБизнес, 09:02
18 российских компаний объявили дивиденды за 9 месяцев. Кто и сколькоИнвестиции, 09:00
Онлайн-курс Digital MBA от РБК Pro
Объединили экспертизу профессоров MBA из Гарварда, MIT, INSEAD и опыт передовых ИТ-компаний
Оставить заявку
Уволенный министр экономики Германии назвал причину распада «Светофора»Политика, 08:49
Экс-генсек ОДКБ рассказал, как могли предотвратить конфликт на УкраинеПолитика, 08:32
В Николаеве прогремел взрывПолитика, 08:25
Как развитие производства ускоряет масштабирование light industrialНедвижимость, 08:23
В Донецке задержали подорвавшего внедорожник местного жителяПолитика, 08:11
Почти половина россиян отказались от просмотра новогодних шоуОбщество, 08:01
Таланты в условиях «голода»: как сохранить ценных сотрудниковРБК и Битрикс24, 07:59