Впервые инструмент можно было наблюдать в действии в марте в ходе мощнейшей DDoS-атаки на платформу разработки программного обеспечения GitHub. Сайт подвергся массированной бомбардировке трафиком из-за размещенных на нем проектов систем обхода цензуры в Китае. Это была самая большая атака на GitHub за всю историю сайта.
Вначале были предположения, что атаку организовали с помощью «Великого китайского межсетевого экрана» (Great China Firewall), сложной системы из сетевого оборудования и ПО фильтрации трафика, применяемой властями Китая для ограничения доступа к сайтам. Посредством государственного межсетевого экрана в числе прочего блокируется доступ к Facebook, Twitter и некоторым СМИ.
Но хотя инфраструктура «Великой пушки» (Great Cannon) размещена там же, где и «Великий межсетевой экран», DDoS-инструмент — это отдельная «наступательная» система с другими возможностями и архитектурой, как выяснили исследователи из Калифорнийского университета и Университета Торонто.
«Пушка» — не расширение межсетевого экрана, а самостоятельный инструмент перехвата трафика на индивидуальные IP-адреса, устраивающий атаки по схеме «человек посередине» (man on the middle), — он может произвольно подменять незашифрованный контент, передаваемый между веб-сервером и конечным пользователем. По словам исследователей, «пушка» используется для манипуляций с трафиком систем, находящихся за пределами Китая, путем тайного программирования браузеров на осуществление массивных DDoS-атак.
Атака на GitHub проводилась по методу инъекции вредоносного кода JavaScript в браузеры, соединяющиеся с китайской поисковой системой Baidu. Когда «Великая пушка» регистрирует запрос на получение определенных файлов Javascript с одного из инфраструктурных серверов Baidu, она, во всей видимости, выполняет одно из двух действий: запрос либо передается на серверы Baidu, что происходило более чем в 98% случаев, либо он отбрасывается до достижения Baidu, а в ответ запрашивающему пользователю отправляется вредоносный скрипт — это происходило примерно в 1,75% случаев, говорится в докладе исследователей.
При этом запрашивающие пользователи находились за пределами Китая и просматривали какой-либо сайт, пользующийся инфраструктурным сервером Baidu, — например, отображающий рекламу с помощью баннерной платформы китайской компании. В ходе DDoS-атаки на GitHub, проводимой с помощью вредоносного скрипта, к ней подключались получившие его пользователи.
К аналогичным выводам пришли специалисты из Electronic Frountier Foundation, тоже анализировавшие атаку. По их сведениям, она явно была организована кем-то, у кого был доступ к магистральным маршрутизаторам в Китае, и стала возможной только благодаря тому, что размещаемый на сайтах скрипт счетчика Baidu по умолчанию не использует шифрование. Если бы протокол HTTPS использовался шире, атаку провести бы не удалось, полагают в EFF.
По утверждению авторов доклада, есть убедительные свидетельства в пользу того, что «пушкой» орудует китайское правительство. Авторы проверили два международных канала связи с Китаем, принадлежащие двум разным китайским провайдерам, и пришли к выводу, что «Великая пушка» размещается там же, где и «Великий межсетевой экран». Это дает веские основания предполагать причастность госструктур, считают они.
Сам процесс осуществления DDoS-атаки технически незамысловат, но «Великая пушка» может применяться не только для этого. Несложное изменение в настройках системы позволяет переключить ее из режима работы с трафиком к определенному IP-адресу на перехват в обратном направлении. По словам исследователей, это позволило бы доставлять вредоносы на любой компьютер за пределами Китая, общающийся с любым китайским сервером, на котором не используется криптографическая защита.
Похожая система под названием QUANTUM применяется американским Агентством национальной безопасности и британскими разведслужбами для адресной доставки эксплойтов, утверждают исследователи.
«Внедрение 'Великой пушки' указывает на предельное ужесточение государственного контроля над информацией — фактически в норму возводится широкое применение инструмента атаки в целях соблюдения цензуры силами ничего не подозревающих пользователей», — пишут докладчики, добавляя, что их выводы указывают на необходимость как можно скорее заменять унаследованные протоколы Web, такие как HTTP, на их криптографически защищенные аналоги вроде HTTPS.