Ранее неизвестная хакерская группировка UkDrillas взяла на себя ответственность за DDoS-атаку на педию и Twitch

7 сентября 2019

В этой статье упоминается Фонд Викимедиа, какой-либо из его проектов или люди, имеющие к ним отношение. Викиновости — один из проектов Фонда Викимедиа.

6 сентября 2019 года в конце девятого часа вечера по московскому времени Википедия и другие проекты Викимедиа перестали открываться у многих пользователей в Европе и мире, а сервисы по контролю доступности интернет-ресурсов зафиксировали падение сайта. Вскоре это прекратилось, но ненадолго: в 23:53 МСК аккаунт сообщил о масштабной DDoS-атаке на сервера, которая в итоге с перерывами продолжалась до 5:40.


График сетевого трафика на кластер серверов Фонда Викимедиа в Ашберне (Виргиния, США) достигавшего 24 Гбит/с


Незадолго до сообщения немецких викимедийцев, в 23:39 МСК, с зарегистрированного в сентябре 2019 года твиттер-аккаунта @UKDrillas было отправлено первое сообщение о том, что владельцы аккаунта атакуют амстердамские (Esams) и американские (Eqiad) сервера Фонда Викимедиа и держат их недоступными с 23:00 МСК, а незадолго до этого атаковали их же в испытательных целях спорадически:

«В данный момент кладём каналы @Wikipedia
20-гигабитный AMS-IX и 10-гигабитный «Эквиникс Чикаго».
Айпи: 91.198.174.192 и 208.80.153.224
соответственно. Начали атаковать с перерывами несколько часов назад для испытаний.
Положили с 9 вечера по британскому летнему времени.
=)
»

Если верить информации в этом твиттере, вскоре после этого хакеры параллельно атаковали популярных стримеров на Twitch.

По словам владельцев учётной записи, для атаки они использовали заражённые ими устройства, подключённые к «Интернету вещей» (IoT), а корыстного интереса у них на данный момент нет:

«Бро. WannaCry — вирус-вымогатель.

У нас нет материальной заинтересованности.

Мы просто испытываем некоторые новые IoT-девайсы, которые мы загрузили недавно.

»

В 0:41 в аккаунте появилось сообщение, что атака прекращена на четыре минуты с целью доказать аутентичность аккаунта, и по информации TJ, Википедия действительно была доступна в этот промежуток времени.

Пиковая мощность атаки, по данным сервиса Grafana Wikimedia Foundation, составила в 21:08 МСК почти 24 Гбит/с на сервера в Виргинии (Викиновостям не удалось найти в открытом доступе данных о сетевой загрузке амстердамских серверов[1]).

В 21:35 МСК инженер Фонда Викимедиа IRC-канале #wikimedia-operations, предназначенном для координации инженеров, поддерживающих сервера Фонда:

«<…> Нет смысла официально не заявить, поскольку технически это очевидно: мы подверглись очень большой и широкой DDoS-атаке.
»

Сообщение не заархивировалось в публичном логе канала, поскольку, как пояснил в Фейсбуке бывший старший аналитик Фонда Тильман Байер, около 21:22 МСК предположительно из-за нерасчётного количества сообщений на IRC-сервере отключился специально предназначенный для этой цели бот.

В кратком официальном коммюнике Фонда Викимедиа утром 7 сентября мотивацией атакующих названа популярность Википедии. О том, что было выведено из строя большинство проектов Фонда вообще, не упомянуто.

В силу устройства инфраструктуры Фонда, а также расположения атакующих, основной удар пришёлся на кластер серверов в Амстердаме, обслуживающий пользователей большей части Восточного полушария. Его главный IP-адрес 91.198.174.192 был временами недоступен ни для каких запросов. Вчера около 21 часа по московскому времени многие остававшиеся без обслуживания пользователи были переключены на сервера Викимедиа в Виргинии посредством изменения адресного отображения имени dyna.wikimedia.org; проведение такой корректировки распределения пользователей подтверждается сильным всплеском сетевой активности на американском кластере, заметным на графиках около 21:10 МСК (18:10 UTC). Уже упоминавшийся выше сотрудник Фонда Брэндон Блэк подтвердил, что запросы пользователей переключалось между разными частями инфраструктуры Викимедиа. Однако вскоре отображение dyna.wikimedia.org для пользователей Старого Света было направлено обратно в Амстердам. Работа кластера в Виргинии, судя по данным Grafana, не была серьёзно нарушена. Работа амстердамских серверов была в основном нормализована к 5:45 МСК 7 сентября.

Утром 7 сентября предположительные хакеры пригрозили продолжить атаки «в то же время завтра»:

«Уже прекратили бить твич наряду с Википедией. Вернёмся в то же время завтра =)
»

Несколько минут назад аккаунт злоумышленников вновь активизировался, но сообщений об атаках на проекты Викимедиа в нём пока нет.


 

Примечания

  1. На соответствующей вкладке сервиса во втором ряду справа показывается No data points: https://grafana.wikimedia.org/d/000000607/cluster-overview?from=1567789200000&to=1567825200000&var-server=bast3002&var-datasource=esams%20prometheus%2Fops&var-cluster=All&orgId=1

Источники

Ссылки

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.
 
  • .."я понимаю атака на популярных блогеров, чтобы не расслаблялись, а Википедия тут причём".. — Это неподписанное сообщение было добавлено вклад) 16:41, 7 сентября 2019
  • После атаки на Blizzard, до возобновления атаки на Википедию дело может не дойти :-) — обсуждение) 17:28, 7 сентября 2019 (UTC)
 


Ранее неизвестная хакерская группировка UkDrillas взяла на себя ответственность за DDoS-атаку на Википедию и Twitch
Авторы