"Яндекс" и ряд других интернет-холдингов подверглись мощной сетевой атаке, сообщает РБК со ссылкой на источники. При этом уточняется, что опасность технологии атаки заключается в том, что она использует уязвимость в системе блокировки сайтов Роскомнадзора.

По данным РБК, несколько дней назад произошли DNS-атаки - подмена записи в Domain Name System (системе доменных имен) - на ряд крупных российских ресурсов, одним из основных пострадавших стал "Яндекс".

Представитель пресс-службы "Яндекса" подтвердил инцидент и рассказал о нем следующее: "Это [была] эксплуатация существующих недостатков в механизме применения списка блокировок. Пострадать от подобных действий может любая компания и любой сайт, не только "Яндекс".

Суть уязвимости реестра запрещенных сайтов Роскомнадзора заключается в том, что в ходе атаки злоумышленник, владеющий доменом, включенным в реестр запрещенных сайтов, может связать его с IP-адресом любого другого сайта и таким образом добиться его блокировки.

В результате атаки ряд мелких провайдеров заблокировал доступ к некоторым IP-адресам "Яндекса", а крупные операторы, использующие для блокировки контента системы глубокой фильтрации трафика (Deep Packet Inspection, DPI), по сведениям РБК, вынуждены были пропускать весь трафик до сервисов "Яндекса" через них, что существенно снизило скорость доступа к ресурсам для пользователей. Система DPI позволяет определить принадлежность пакетов трафика к определенному веб-приложению или сайту и при необходимости запретить доступ к ним.

По информации, полученной РБК от источника в "Яндексе", специалисты компании отражали атаку несколько суток. При этом блокировки сайтов удалось избежать, но снижение скорости доступа к сервисам компании было заметно.

Отмечается, что атака была также направлена на некоторые СМИ, в частности, затронула РБК. Кирилл Титов, digital-директор B2C-направления РБК, подтвердил, что компания зафиксировала атаку 11 марта. "Наблюдались проблемы с сетевой доступностью площадок РБК, снизилась скорость доступа к сайтам компании для части аудитории", - рассказал он, при этом отметив, что подобное уже происходило в 2017 году, также с использованием уязвимости реестра запрещенных сайтов.

С 2017 года повторных атак такого рода не было, однако эксперты отрасли утверждают, что уязвимость так и не была устранена. По данным одного из источников РБК: "Наоборот, появился практически подпольный рынок доменов из реестра запрещенных сайтов, которые можно купить специально для проведения DNS-атаки, а подмена IP-адресов для таких доменов производится уже не вручную, а автоматизирована злоумышленниками".

Генеральный директор Qrator Labs Александр Лямин также подтвердил эту информацию, заявив: "Доменные имена, попавшие в реестр запрещенных сайтов Роскомнадзора, в последнее время можно легко купить в даркнете, в частности, как раз для проведения DNS-атак. Они практически ничего не стоят, так как для каких-то иных целей бесполезны, а их количество практически неисчерпаемо. Соответственно, материальные вложения для проведения такой атаки нужны совсем небольшие".

Ярослав Каргалев, заместитель начальника Центра реагирования на инциденты кибербезопасности компании Group-IB, сообщил, что с 2017 года спрос на приобретение заблокированных доменов был довольно высоким, а кроме того, пользователи выкладывали списки свободных доменов, которые находятся в реестре запрещенных сайтов.

По данным пресс-службы "Яндекса", Роскомнадзор уже выработал ряд инструментов для защиты от подобных атак. В частности, появилась инициатива создания белых списков - переченя сайтов, которые ни при каких обстоятельствах нельзя блокировать. В "Яндексе" это предложение оценивают положительно, однако добавляют, что этого недостаточно и необходимо будет также сделать использование белых списков обязательным для всех провайдеров при проведении блокировок.

Эксперты отрасли отмечают, что использование крупными операторами связи систем DPI помогло минимизировать последствия атаки, однако это решение является слишком дорогостоящим для его повсеместного внедрения, и к тому же DPI замедляет доступ пользователей к сайтам. Об этом рассказал гендиректор провайдера Diphost Филипп Кулин, кроме того отметив, что возможны атаки и на сами системы DPI.

Официальной информации о том, кто мог стоять за атакой, нет. При этом РБК обращает внимание на тот факт, что атаки по времени совпали с проведением митингов против принятия закона о "суверенном Рунете", которые 10 марта прошли в Москве и ряде других городов России.

Кроме того, сообщается, что на закрытом заседании Совета Федерации, посвященном законопроекту, атака также обсуждалась, причем игроки рынка, ссылаясь на нее, пытались донести до авторов законопроекта, что предлагаемая в документе передача полномочий по управлению Рунетом Роскомнадзору в случае какой-либо критической ситуации вызывает сомнения, также раскритиковали и работу систем DPI, установка которых на сети всех операторов предусмотрена в законопроекте.

Напомним, что 28 февраля 2018 года в реестр запрещенных сайтов Роскомнадзора ошибочно попали страницы с сообщениями о блокировках ведомства. Тогда возможной причиной такой ошибки называлась подмена IP-адресов в реестре.