В тот день так и случилось. Серверы GitHub обрушились из-за DDoS-атаки[1].

Чаще всего сайты «ложатся» из-за внезапного притока трафика. Не в силах обработать множество одновременно входящих запросов, серверы выходят из строя или переключаются на черепашью скорость. Например, в 2015 году сайт Эйфелевой башни упал из-за того, что в дудл Google в честь 126-й годовщины постройки башни была вставлена соответствующая ссылка, по которой одновременно перешли миллионы посетителей[2]. По такому же принципу устроена DDoS-атака, но при этом она всегда кем-то инициирована. В последнее время количество таких атак увеличивается по экспоненте с ростом числа ботнетов, или армии компьютеров-зомби, инфицированных вирусным кодом, с помощью которого хакеры осуществляют над ними удаленный контроль.

«GitHub стал жертвой крупнейшей DDoS-атаки в своей истории», – так почти через сутки после начала атаки написал в своем блоге главный разработчик компании Джесси Ньюленд[3]. Если судить по имеющимся в открытом доступе сообщениям о статусе серверов, в течение следующих пяти дней сервер GitHub падал девять раз[4]. Инженеры сервиса 120 часов пытались отразить атаку, а она, как гидра, приспосабливалась и становилась вдвое сильнее, как только казалось, что с ней удалось справиться. В компании GitHub отказались от официальных комментариев, но один сотрудник на условиях анонимности сказал мне: «с таким мы еще никогда не сталкивались».

Во внутреннем чате GitHub сотрудники делились опасениями, что с атакой придется разбираться еще какое-то время. Была одна проблема: все использованные ими ранее методы подбирались под атаки, с которыми GitHub и другие компании уже имели дело. А эта атака была другой. Счет шел уже не на часы, а на сутки. Между инженерами GitHub и неизвестными организаторами атаки развернулось что-то вроде соревнования. Напряженная сверхурочная работа не оставляла команде GitHub времени подумать, кто скрывается за маской хакеров. Комментируя слухи, плодившиеся в интернете, представители GitHub повторяли: «Мы считаем, что цель атаки – заставить нас убрать с сайта определенный контент».

Николас Уивер, житель Беркли, университетского городка в двадцати минутах езды от Сан-Франциско, был уверен, что знает, кто стоит за атакой, – Китай. Уивер, лысеющий мужчина в очках, всегда ходит в рубашке поло, говорит четко и по делу. Когда-то он был астрофизиком, но потом заинтересовался компьютерной безопасностью. Сперва атака на GitHub не привлекла его внимания. Сайты компаний подвергаются DDoS-атакам чуть ли не каждый день, да и GitHub уже сталкивалась с ними не раз. Но в интернете начали обсуждать, кто может быть неизвестным злоумышленником, и Уивер заинтересовался. Общаясь с другими экспертами по кибербезопасности в Twitterе и блогах[5], он сузил радиус атаки до двух конкретных проектов на GitHub. Оба были связаны с GreatFire.org. Это китайская организация по противостоянию национальной интернет-цензуре. Выложенные на GitHub разработки предоставляли пользователям на территории Китая доступ к двум сайтам из черного списка – собственно сайту GreatFire и китайской версии сайта New York Times. GreatFire также входит в список иностранных антикитайских организаций по версии Управления по вопросам киберпространства КНР[6]. Сайт организации уже давно подвергалась массированным DDoS-атакам и взломам. Поэтому ей пришлось перенести часть сервисов на GitHub, где они, по идее, должны были оказаться вне досягаемости.

Анализируя атаку, Уивер обнаружил доселе неизвестные элементы, которые могли иметь масштабные последствия для кибербезопасности. Совместно с Биллом Марчаком и еще семью исследователями в издательстве лаборатории Citizen Lab при Университете Торонто Уивер опубликовал работу, в которой утверждалось, что Китай разработал беспрецедентное кибероружие под названием «Большая пушка» (Great Cannon). Исследователи Citizen Lab проследили «Большую пушку» до инфраструктуры, которую использует Великий файрвол. Это гигантский аппарат интернет-цензуры, который отделяет интернет Китая от остального мира и контролирует, какие данные могут получать и передавать пользователи внутри страны.

«Факт успешного применения „Большой пушки“ представляет собой значительное достижение в области управления информацией на государственном уровне, – говорится в работе. – Цензура осуществляется путем передачи инструмента атаки в руки пользователей и нормализации широкомасштабных атак». Для атаки на GitHub «Пушка» использовала сервисы Baidu, одного из китайских интернет-гигантов. «Пушка» нашла уязвимость в системе онлайн-рекламы Baidu с миллионами показов по всему миру, перехватила трафик и перенаправила его на серверы GitHub. На тот момент сайт Baidu, которая, кстати, всячески отрицала свое участие в атаке, занимал четвертое место в мире по посещаемости. При каждом переходе на сайт с баннерами из системы Baidu код запрашивал данные с китайских серверов компании. Пока запрос обрабатывался, «Пушка» перехватывала фрагменты данных и заменяла код Baidu на свой. При этом браузер пользователя начинал снова и снова обращаться к двум проектам на GitHub.