На днях неизвестные хакеры организовали DNS-атаки на ряд крупных российских сайтов, а главной целью злоумышленников стал "Яндекс". Об этом пишет РБК со ссылкой на ряд источников, отмечая, что атака была осуществлена благодаря уязвимости в системе блокировок запрещенных сайтов, используемой Роскомнадзором.
Суть DNS-атак заключается в использовании уязвимости в действующей в России системе блокировок сайтов, которой управляет Роскомнадзор. Эта уязвимость позволяет владельцу домена, включенного в реестр, связать ресурс с IP-адресом любого сайта. В результате этот сайт окажется заблокирован операторами связи, если они не используют систему глубокого анализа трафика (DPI), которая позволяет определить принадлежность пакетов трафика тому или иному веб-приложению или сайту.
По словам источника РБК в "Яндексе", специалисты компании отражали атаку в течение нескольких суток. "Блокировки сайтов удалось избежать, но атака не прошла незамеченной – активные пользователи сервисов компании заметили снижение скорости доступа к ним", – сообщил он.
Эта уязвимость в системе блокировок используется хакерами не в первый раз. В июне 2017 года аналогичная атака привела к серьезным проблемам с доступом к ряду популярных сайтов, включая сайты крупных банков.
В пресс-службе "Яндекса" заявили, что Роскомнадзор уже выработал несколько инструментов защиты от повторения подобных ситуаций. В частности, ведомство предложило применять так называемые белые списки – перечни сайтов, которые нельзя блокировать.
В свою очередь технический специалист крупного оператора связи сообщил, что атака была направлена и на некоторые СМИ, включая РБК. Digital-директор B2C направления медиахолдинга Кирилл Титов подтвердил, что компания зафиксировала атаку 11 марта.
"Наблюдались проблемы с сетевой доступностью площадок РБК, снизилась скорость доступа к сайтам компании для части аудитории. Злоумышленники, как и в 2017 году, воспользовались уязвимостью, позволяющей приписать домену из реестра запрещенных сайтов IP-адрес любого другого добропорядочного ресурса и тем самым попытаться заблокировать его. Блокировок удалось избежать, так как крупные провайдеры теперь используют более интеллектуальные системы блокировки контента, в частности DPI, однако мы полагаем, что прохождение пакетов от пользователей до сайта через данные системы сказывается на скорости доступа до него", – сказал Титов.
Кто именно может стоять за атакой, источники РБК не знают. При этом два собеседника отметили, что атака совпала по времени с митингом против изоляции Рунета, который прошел в Москве 10 марта. Также собеседники издания рассказали, что на днях представители отрасли обсуждали атаку на закрытом заседании в Совете Федерации, посвященном законопроекту об автономной работе Рунета. Эксперты пытались объяснить законодателям, что предусмотренная в этом законопроекте передача полномочий по управлению Рунетом Роскомнадзору в случае критической ситуации вызывает недоверие, поскольку ведомство уже несколько лет не может устранить уязвимость, ставшую причиной очередной атаки.
"С самого начала существования механизма блокировок, в нем есть одна адская дыра: каждый владелец заблокированного ресурса может руками Роскомнадзора частично заблокировать любой другой ресурс. Об этом кричали эксперты на показушных "круглых столах", которые проводил РКН на этапе создания механизма; эта уязвимость периодически эксплуатируется все 5 лет существования реестра", – прокомментировал новость об атаке в своем Telegram-канале IT-эксперт Владислав Здольников, отметив, что Роскомнадзор по-прежнему не удаляет из реестра уже освободившиеся домены. Это означает, что такую атаку может совершать любой человек абсолютно анонимно.
