По данным аналитиков AT&T Cybersecurity, китайские власти вновь активировали «Великую пушку» (Great Cannon) — мощный инструмент для DDoS-атак, который в последний раз использовался два года назад.
Последний раз «Великая пушка» применялась в 2017 году, когда китайские власти использовали ее для DDoS-атак на Mingjingnews.com, китайский новостной сайт в Нью-Йорке. До этого инструмент использовался для организации DDoS-атак на GitHub, так как там размещают утилиты, помогающие китайским пользователям обходить национальный файрвол, и GreatFire.org — портал, посвященный интернет-цензуре по всему миру.
Согласно отчету 2015 года, составленному специалистами Citizen Lab, «Великая пушка» и «Великий китайский файрвол» использовали схожий код и располагались на одних и тех же серверах. Так, DDoS-инструмент перехватывал трафик, предназначенный для сайтов, расположенных в Китае, и вставлял JavaScript в ответы, получаемые пользователями в браузерах. Этот вредоносный JavaScript выполнялся в браузерах и тайно осуществлял доступ к сайту-жертве, создавая гигантские всплески трафика.
Теперь эксперты AT&T Cybersecurity утверждают, что «Великую пушку» используют снова. На этот раз мишенью для атак стал сайт LIHKG.com — это онлайн-платформа, где организаторы протестов в Гонконге делятся информацией о местах проведения ежедневных демонстраций. Также сайт является местом сбора для жителей Гонконга, где они публикуют истории о злоупотреблениях полиции и куда загружают видеодоказательства.
По информации аналитиков, первые DDoS-атаки на LIHKG были обнаружены 31 августа 2019 года, а последняя атака была зафиксирована 27 ноября 2019 года. Исследователи пишут, что в ходе августовских атак использовался JavaScript, очень похожий на код, который был обнаружен ранее, во время атак на Mingjingnews.com в 2017 году.
По данным администрации LIHKG , во время августовской атаки сайт получал более 1,5 миллиарда запросов в час, тогда как в нормальных обстоятельствах трафик сайта составляет лишь 6,5 миллиона запросов в час.