Перейти к основному контенту
Технологии и медиа ,  
0 
Эксклюзив

На «Яндекс» зашли через Роскомнадзор

Чем опасна технология, использованная в сетевой атаке на интернет-холдинги
«Яндекс» и ряд других интернет-холдингов подверглись мощной сетевой атаке, выяснил РБК. Задействованная в ней технология опасна тем, что использует уязвимость в системе блокировки сайтов Роскомнадзора
Фото: Антон Белицкий / ТАСС
Фото: Антон Белицкий / ТАСС

Как атаковали интернет-холдинги

Несколько дней назад злоумышленники провели DNS-атаки (подмену записи в Domain Name System, системе доменных имен) на ряд крупных российских ресурсов, одним из основных пострадавших стал «Яндекс». Об этом РБК рассказали источник в одной из отраслевых ассоциаций, технический специалист крупного оператора связи и источник в самом интернет-холдинге.

«Это [была] эксплуатация существующих недостатков в механизме применения списка блокировок. Пострадать от подобных действий могут любая компания и любой сайт, не только «Яндекс», — сообщил РБК представитель пресс-службы «Яндекса», подтвердив инцидент.

DNS-атака заключается в использовании уязвимости в действующей в России системе блокировки сайтов, которую курирует Роскомнадзор. В ходе атаки злоумышленник, который владеет доменом, включенным в реестр запрещенных сайтов, может связать его с IP-адресом любого другого сайта и таким образом добиться его блокировки.

В результате атаки ряд небольших операторов заблокировал доступ к некоторым IP-адресам «Яндекса», а крупные операторы, использующие для блокировки контента системы глубокой фильтрации трафика (Deep Packet Inspection, DPI), были вынуждены пропускать весь трафик до сервисов «Яндекса» через них, что значительно снизило скорость доступа к ресурсам для пользователей, пояснил собеседник в операторе связи и подтвердил источник в «Яндексе». DPI предназначена для глубокого анализа всех проходящих через эту систему пакетов трафика, что позволяет определить их принадлежность определенному веб-приложению или сайту и при необходимости запретить доступ к ним.

По словам одного из собеседников РБК, технические специалисты «Яндекса» отражали атаку в течение нескольких суток. «Блокировки сайтов удалось избежать, но атака не прошла незамеченной: активные пользователи сервисов компании заметили снижение скорости доступа к ним», — рассказал источник в самой компании.

Технический специалист крупного оператора связи утверждает, что атака также была нацелена на некоторые СМИ, в частности на РБК. Digital-директор b2c-направления РБК Кирилл Титов подтвердил, что компания зафиксировала атаку 11 марта: «Наблюдались проблемы с сетевой доступностью площадок РБК, снизилась скорость доступа к сайтам компании для части аудитории. Злоумышленники воспользовались уязвимостью, позволяющей приписать домену из реестра запрещенных сайтов IP-адрес любого другого добропорядочного ресурса. Блокировок удалось избежать, так как крупные провайдеры теперь используют более интеллектуальные системы блокировки контента, в частности DPI, однако мы полагаем, что прохождение пакетов от пользователей до сайта через данные системы сказывается на скорости доступа до него».

Программа развития РБК Pro Освойте 52 навыка за год
Программа развития — удобный инструмент непрерывного обучения новым навыкам для успешной карьеры

Чем опасна DNS-атака

Об уязвимости в системе блокировки сайтов Роскомнадзора стало известно в июне 2017 года: тогда злоумышленники с ее помощью на протяжении нескольких дней блокировали доступ к сайтам крупных российских банков. С тех пор о проведении подобных атак более не сообщалось.

Участники рынка утверждают, что за прошедшие два года Роскомнадзор так и не устранил уязвимость в системе блокировки запрещенных в России ресурсов. «Наоборот, появился практически подпольный рынок доменов из реестра запрещенных сайтов, которые можно купить специально для проведения DNS-атаки, а подмена IP-адресов для таких доменов производится уже не вручную, а автоматизирована злоумышленниками», — говорит один из источников РБК.

Эту информацию подтвердил и гендиректор Qrator Labs Александр Лямин. «Доменные имена, попавшие в реестр запрещенных сайтов Роскомнадзора, в последнее время можно легко купить в даркнете (закрытом сегменте интернета. — РБК), в частности как раз для проведения DNS-атак. Они практически ничего не стоят, так как для каких-то иных целей бесполезны, а их количество практически неисчерпаемо. Соответственно, материальные вложения для проведения такой атаки нужны совсем небольшие», — сказал Лямин.

Заместитель начальника Центра реагирования на инциденты кибербезопасности компании Group-IB Ярослав Каргалев отметил, что начиная с 2017 года спрос на приобретение заблокированных доменов был достаточно высоким, в том числе искусственно подогреваемым в политических целях. Кроме того, по его словам, пользователи выкладывали списки свободных доменов, которые находятся в реестре запрещенных сайтов.

Фото: Christina Morillo / Pexels

Представитель пресс-службы «Яндекса» утверждает, что Роскомнадзор уже выработал несколько инструментов защиты компаний, в том числе «Яндекса», от случайного попадания в такие ситуации: ведомство предложило применять белые списки — перечень сайтов, которые ни при каких обстоятельствах нельзя блокировать. «Это правильный подход, но этого недостаточно. Необходимо сделать обязательным использование белых списков всеми операторами связи при формировании списка ресурсов для блокировки», — считает представитель «Яндекса».

Кроме этого, избежать блокировки сайтов в ходе прошедшей атаки помогло использование крупными операторами связи систем DPI, однако, по словам опрошенных экспертов, установка таких систем на весь канал и анализ абсолютно всего трафика являются дорогостоящими, а также замедляют доступ пользователей к сайтам.

«Теоретически возможно пропускать весь трафик через оборудование DPI, но стоимость будет космической и при аномальных нагрузках все равно могут возникать различные задержки. Я утверждаю, что просто анализировать абсолютно весь проходящий трафик не по карману сейчас никому. Все крупные операторы сейчас анализируют с помощью DPI только часть трафика, который они считают потенциально опасным. Кроме того, в будущем возможны сетевые атаки уже на сами DPI», — говорит гендиректор провайдера Diphost Филипп Кулин. По его словам, для крупного оператора связи установка DPI и даже частичный анализ трафика обойдутся в миллиарды рублей, а анализ абсолютно всего трафика обойдется еще дороже.

Есть ли у ​атаки политический подтекст

Кто мог стоять за атакой, представитель «Яндекса» не сообщил. Два собеседника РБК в операторах связи обратили внимание на то, что атака совпала по времени с митингом против изоляции Рунета, который прошел в Москве 10 марта.

Два источника​ РБК утверждают, что операторы связи и представители интернет-компаний на днях обсуждали эту атаку на закрытом заседании в Совете Федерации, посвященном законопроекту о суверенном Рунете, заявленная цель которого — обеспечить устойчивую работу российского сегмента интернета в случае отключения от мировой Сети.

Компании​ пытались донести до авторов законопроекта, что предлагаемая в документе передача полномочий по управлению Рунетом Роскомнадзору в случае какой-либо критической ситуации вызывает сомнения. В качестве примера они привели как раз тот факт, что на протяжении нескольких лет ведомство не может устранить уязвимость в системе блокировки сайтов и решить проблему с возникающими из-за нее сетевыми атаками.

Участники заседания раскритиковали работу систем DPI, отметив, что пропуск через них больших объемов трафика значительно замедляет доступ к сайтам, что было наглядно продемонстрировано на примере сервисов «Яндекса» в ходе прошедшей сетевой атаки, рассказали РБК два участника заседания. Установка подобных систем фильтрации трафика на сетях всех операторов связи также предусмотрена в тексте законопроекта о суверенном Рунете.

Как сообщили РБК в Роскомнадзоре, по требованиям ведомства операторы связи должны ограничивать доступ только по URL. «Если используется сетевой протокол HTTPS либо информация об URL отсутствует, то блокировка должна осуществляться по домену. Иные способы ограничения доступа к информационным ресурсам не допускаются», — добавили в федеральном агентстве.

Сейчас блокировка по IP операторами «де-факто практически не осуществляется», заявили в Роскомнадзоре. Данные об «избыточной блокировке» сайтов поступают в ведомство, но такие случаи малочисленны и «допускаются исключительно на сетях провайдеров с небольшим числом абонентов», атаки на крупные интернет-ресурсы «своевременно выявляются», добавили в ведомстве.

Представители МТС и «ВымпелКома» отказались от комментариев. Представитель «МегаФона» сообщил, что компания «не фиксировала никаких атак и проблем у абонентов по указанным причинам».​

Минобороны показало удар по комплексу Patriot. Видео

Зеленский раскрыл потери Украины с начала военных действий

35 рыбаков оказались на льдине в Финском заливе. Видео

Мэр Лондона призвал конфисковать принадлежащую россиянам недвижимость

Как выглядит новый российский ракетоносец ТУ-160М. Видео

⚡ Кто попал под новые санкции Запада

Боррель назвал срок, когда может решиться исход конфликта на Украине

Лукашенко прокомментировал заявление Армении о членстве в ОДКБ

В России возобновили выпуск Hyundai и Kia, но под другим брендом. Фото

Xiaomi показал свой самый дорогой смартфон. Фото и цены

В какой банк положить деньги? Топ-10 вкладов в феврале 2024 года

В России ждут рекорда по дивидендам. Последние новости о выплатах компаний

Открыть счет в Казахстане стало труднее. Что произошло?

В России анонсировали игру про счастливое детство 1990-х. Опубликованы скриншоты

Авторы
Теги
Магазин исследований Аналитика по теме "Интернет"
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
Лента новостей
Курс евро на 27 февраля
EUR ЦБ: 100,18 (—)
Инвестиции, 16:17
Курс доллара на 27 февраля
USD ЦБ: 92,63 (—)
Инвестиции, 16:17
В Люберцах выгнавшей из кафе мужчину девушке вменили дискредитацию армии Политика, 20:42
Брюссель призвал Украину перенаправить агроэкспорт из ЕС в другие страны Бизнес, 20:37
Рублев вышел во второй круг крупного турнира в Дубае Спорт, 20:24
Венгрия избрала нового президента Политика, 20:17
Объем активов на ИИС максимально приблизился к докризисному уровню Инвестиции, 20:10
Песков заявил, что танки Abrams будут гореть Политика, 20:04
Шольц назвал победой одобрение Венгрией заявки Швеции в НАТО Политика, 20:03
Нетворкинг: как заводить полезные знакомства
За 5 дней вы научитесь производить нужное впечатление и извлекать пользу из новых контактов
Прокачать навык
Объем инвестиций в криптостартапы превысил $90 млрд. Что привлекает фонды Крипто, 19:56
Почему фермеры заблокировали Брюссель и другие европейские города Политика, 19:49
«Тинькофф» «переехал» в Россию. Что будет с акциями и дивидендами группы Инвестиции, 19:44
Лавров заявил, что руководство МОК погружает мировой спорт в кризис Спорт, 19:40
Над Белгородской областью сбили третий за день беспилотник Политика, 19:30
Боррель признал конец западного доминирования Политика, 19:29
Гладков сообщил о двух пострадавших детях при обстреле Новой Таволжанки Политика, 19:19