Great Cannon
Великая пушка (англ. Great Cannon) — программно-аппаратный инструмент для проведения кибератак, используемый правительством Китайской Народной Республики для осуществления распределённых атак типа «отказ в обслуживании» (DDoS) на веб-сайты. Он реализует атаку «человек посередине» (man-in-the-middle), перехватывая значительный объём веб-трафика и внедряя в него код, который заставляет веб-браузеры пользователей перенаправлять поток запросов на целевые сайты, затрудняя их работу. По данным исследователей из Citizen Lab, Международного института компьютерных наук и Центра политики информационных технологий Принстонского университета, впервые охарактеризовавших данный термин, «Великая пушка» перехватывает зарубежный трафик, предназначавшийся китайским сайтам, и направляет его для перегрузки целевых серверов огромным объёмом запросов в целях нарушения их работы. Хотя данный инструмент расположен вместе с системой «Великий китайский фаервол», он является отдельной наступательной системой с другими возможностями и архитектурой[1].
Помимо организации DDoS-атак, «Великая пушка» способна осуществлять мониторинг интернет-трафика[2] и распространять вредоносное ПО при целевых атаках, что схоже с подходами, реализуемыми системой Quantum Insert Агентства национальной безопасности США[1]. Последним известным случаем использования системы стала атака на майнинг-пул Flexpool в 2021 году.
Механизм действия
«Великая пушка» перехватывает небезопасный трафик, направляемый на серверы внутри территории, охваченной «Великим фаерволом», и внедряет в него JavaScript, который затем направляет поток данных на выбранные атакуемые ресурсы[3]. Такие атаки становятся неэффективны, если целевые сайты используют защищённое соединение HTTPS. В отличие от «Великого китайского файрвола», который является пассивной on-path системой цензуры, «Великая пушка» представляет собой in-path систему, работающую по принципу «человек посередине» (Man-in-the-Middle), что позволяет ей напрямую перехватывать и изменять трафик[1].
Известные атаки
Первыми известными целями «Великой пушки» в конце марта 2015 года стали сайты, предоставлявшие инструменты для обхода интернет-цензуры, в частности GitHub (онлайн-платформа для размещения и совместной работы с исходным кодом) и GreatFire (сервис мониторинга заблокированных в Китае сайтов).
В 2017 году «Великая пушка» была использована для атаки на новостной сайт Mingjing News.
По состоянию на декабрь 2019 года инструмент применялся для попытки нарушения работы интернет-форума LIHKG, действующего в Гонконге, несмотря на то что Основной закон Гонконга относит вопросы интернет-пространства к исключительной компетенции региона. В пиковые моменты атаки сайт получал более 1,5 миллиарда запросов в час, а использованный вредоносный код был схож с тем, что применялся в атаке 2017 года.
В 2021 году система применялась для атаки на серверы гонконгского майнингового пула Ethereum Flexpool. После 2021 года публично подтверждённых атак с использованием системы не зафиксировано.
Реакция
По данным Quartz, атака на GitHub в 2015 году имела серьёзные политические последствия для КНР, поскольку Госдепартамент США расценил её как «атаку на инфраструктуру Соединённых Штатов»[4].