Αιτήματα προς ηλεκτρονικές υπηρεσίες που έχουν αποκλειστεί από το Great Firewall της Κίνας ανακατευθύνονταν τις τελευταίες εβδομάδες σε άλλους διακομιστές που ανήκουν σε εταιρεία παροχής υπηρεσιών ασφάλειας ιστοσελίδων.
Με χιλιάδες requests να χτυπούν ανά δευτερόλεπτα την υποδομή τους, η εταιρεία είχε υποψίες για επίθεση τύπου denial-of-service (DDoS).
Ο Daniel Cid, συν-ιδρυτής της Sucuri, λέει ότι τα requests προέρχονταν από domains που ανήκουν, μεταξύ άλλων, στο Facebook, το Twitter, το WordPress, το Zendesk, το Tumblr, το 4shared ή το Flickr, και παρατήρησε ότι όλα προέρχονταν από την Κίνα.
Μόλις όμως αντιλήφθηκε αυτό, η πρώτη σκέψη που πέρασε από το μυαλό του Cid ήταν ότι οι διακομιστές της εταιρείας ήταν ο αποδέκτης ενός νέου τύπου επίθεσης DDoS που χρησιμοποιεί τυχαία ονόματα τομέα την αποφυγή του εντοπισμού της.
“Ωστόσο, τα request headers φαίνονταν νόμιμα. Επίσης, δεν έμοιαζε με ένα botnet DDoS που θα μπορούσαμε να διακρίνουμε. Προς έκπληξή μας, φαίνονταν πραγματικά requests του προγράμματος περιήγησης από πραγματικούς χρήστες”, λέει ο Cid σε ένα blog post.
Αν και η αιτία αυτού του περιστατικού είναι ακόμη ασαφής, με βάση την ανάλυση των αρχείων καταγραφής από ειδικούς στον κλάδο της ασφάλειας, το γενικό συμπέρασμα είναι ότι το Great Firewall της Κίνας μπορεί να φέρει κακές ρυθμίσεις και έτσι να κατεύθυνε τα requests από τις blocked ιστοσελίδες στα συστήματα της Sucuri.
Ως εκ τούτου, οι χρήστες στην Κίνα που προσπαθούν να έχουν πρόσβαση σε περιεχόμενο περιορισμένων υπηρεσιών, θα δουν ένα μήνυμα σφάλματος από τη Sucuri.
Ο Cid αναφέρει ότι τα περισσότερα από τα αιτήματα αφορούσε το CDN (content distribution network), images και API αρχεία.
Όσον αφορά τον λόγο γιατί το Great Firewall της Κίνας είχε αυτή τη συμπεριφορά, έως τώρα δεν υπάρχει απάντηση και ο ερευνητής εικάζει ότι ένα bug ευθύνεται γι’ αυτό.
Δεδομένου ότι οι πελάτες προσπαθούσαν να έχουν πρόσβαση σε περιεχόμενο από τις πιο δημοφιλείς online πλατφόρμες, ο αριθμός των requests ήταν ασυνήθιστα μεγάλος και προερχόταν από χιλιάδες διευθύνσεις IP στην Κίνα. Ο Cid αναφέρει ότι ένα κύμα αυτού του μεγέθους θα ήταν αρκετό για να θέσει τους περισσότερους διακομιστές εκτός λειτουργίας εκτός και αν λύσεις DDoS mitigation είναι διαθέσιμες, όπως είναι η διάσπαση του traffic και η δρομολόγηση σε άλλα μηχανήματα.
