LIHKG, popular red de Hong Kong, enfrenta ataque sin precedentes redirigido de empresas de internet chinas

Captura de pantalla de LIHKG durante el ataque DDoS.

LIHKG, foro parecido a Reddit de Hong Kong, ha estado bajo ataque del Gran Cañón de China, herramienta usada para lanzar un ataque de denegación de servicio (DDoS) que inserta secuencias de comandos que intercepta masivas cantidades de tráfico web y las redirige a sitios web específicos.

LIHKG ha sido un foro importante para distribuir información y analizar estrategias sobre las protestas contra la extradición de Hong Kong desde marzo de 2019. El ataque fue lanzado antes de la manifestación del 31 de agosto, que la Policía de Hong Kong calificó de “ilegal”.

Según una declaración oficial publicada por el foro, entre las 08:00 y las 23:59 horas el 31 de agosto, el sitio web recibió un total de 1500 millones solicitudes. En el momento más crítico del ataque, el foro recibió 260 000 solicitudes por segundo y 6.5 millones de visitantes únicos por hora. Como la escala del ataque no tenía precedentes, el administrador del foro cree que tuvo respaldo del Estado:

We have reasons to believe that there is a power, or even a national level power behind such attacks as botnet from all over the world were manipulated in launching this attack.

Tenemos razones para creer que existe un poder, o incluso un poder a nivel nacional detrás de esos ataques, pues botnets de todo el mundo fueron manipulados para lanzar este ataque.

El equipo de seguridad restableció rápidamente el sitio web con una medida de protección –un código CAPTCHA en la página de anclaje. Sin embargo, la aplicación móvil de LIHKG quedó interrumpida algunos días y hasta inicios de septiembre seguía inestable.

Cuando la noticia se difundió, círculos tecnológicos locales y extranjeros contactaron con el foro para ayduar a averiguar de dónde venía el ataque. Como se preveía, el ataque DDoS era redirigido por una secuencia de comandos de empresas chinas:

China escribió una secuencia de comandos hecha para DDoSing LIHKG.
En la secuencia de comandos, se incluyó una dirección para comentarios (116.255.226.154).
Si se busca quién es, se encontrará que son empresas chinas.
Esto explica quién causó el desperfecto de hoy.
Script: https://pastebin.com/kMwmEgbx

Segun LIHK, el tráfico masivo del foro era redirigido a través de las empresas de internet chinas Qihucdn.com y Baidu.

Los registros de información del dominio muestran que la provincia o estado de la inscripción Qihucdn.com es Pekín y el nombre del servidor es 360safe.com, el mismo de Qihoo 360, importante plataforma china de internet que sostiene “proteger los dispositivos móviles y computadores de los usuarios contra software malicioso y sitios web maliciosos”. La empresa es conocida por elaborar listas de softwares maliciosos.

Como la protección de seguridad de Qihoo es ampliamente usada por cibernautas y pequeñas empresas de China continental, los usuarios de LIHKG acusaron a la empresa de llevar a cabo un ataque DDoS insertando secuencias de comandos de retroalimentación a través de su “servicio de seguridad”.

De la misma manera, Baidu, el mayor motor de búsqueda en China, redirigía el trafico a LIHKG. El sitio web también se vio involucado en otro ataque masivo DDoS attack contra Github en 2015.

El Gran Cañón

Informes técnicos sobre el incidente de Github de 2015 explicaron que el ataque se lanzó a través de un dispositivo intermediario que interceptaba soliicitudes web que llegaban a China desde cualquier punto del mundo, y luego reemplazaron el contenido con código JavaScript que atacaría al sitio web designado. Específicamente en el caso de Github, interceptaba las analíticas de Baidu y redirigía el tráfico a Github y, por tanto, el ataque aparecía como provenir de «todas partes».

Citizen Lab, centro de investigación de derechos humanos sobre tecnología de la información y la comunicación de la Universidad de Toronto, calificó esos ataques agresivos como el “Gran Cañón”.

El centro de investigación encontró en 2015 que el Gran Cañón puede “manipular el tráfico de sistemas ‘transeúntes’ fuera de China, programar silenciosamente sus navegadores para crear un masivo ataque DDoS”. El ataque es similar al sistema QUANTUM de la NSA, capaz de “atacar todo computador extranjero que se comunica con cualquier sitio web en China que no use plenamente HTTPS”.

Chris Doman, experto en ciberseguridad, revisó el ataque de java script de LIHKG y señaló em Twitter:

Eché un vistazo al reciente ataque de Gran Cañón contra el sitio de protesta de Hong Kong el fin de semana. Algunas notas abajo… Imagen de Citizen Lab.
———
Parece que los atacantes mejoraron el código durante el ataque para revisar Cloudflare y atacar más URL.

Aunque LIHKG ha bloqueado todas las direcciones IP de China continental, cuando alguien en el extranjero visitaba Baidu o Qihoo360 alojado en China continental, la secuencia de comandos le señalaba a LIHKG y, por tanto, el foro enfrentaba un ataque masivo DDoS que viene de todo el mundo:

LIHKG soporta un ataque DDOS a escala global.

En 2015 cuando atacaron a Github, Baidu negó su participación y responsabilidad pues el ataque fue lanzado a través de un dispositivo intermediario. ¿Quién puede controlar el dispositivo que es capaz de insertar secuencias de comandos para redirigir el tráfico web de China al objetivo? El dedo señala al Gobierno de China continental, que también controla el Gran Cortafuegos que bloquea sitios web sensibles y filtra palabras claves conflictivas.

Lo ocurrido a LIHKG no es un incidente único, una mayoría de medios de comunicación independientes y foros ciudadanos en Hong Kong está sujeta a ataques DDoS a nivel estatal de China continental. En 2014, un sitio web de votación de ciudadanos y el sitio de noticias Apple Daily fueron objeto de ataques DDoS, en un intento de silenciar las voces que apoyan la Campaña Occupy Central y un referendo civil que buscaba traer cambios al sistema electoral local. Sin embargo, las autoridades locales no han realizado investigación alguna a los ataques dirigidos contra civiles. Ahora, una mayoría de medios locales independientes y sitios de activistas tienen que bloquear direcciones IP de China continental y suscribirse a costosos planes de seguridad para estar accesibles a los usuarios de internet.

En cuanto a la más reciente ola de ataques contra LIHKG, muy probablemente ninguna entidad responderá por el acto malicioso. Los cibernautas solamente pueden tomar medidas protectoras muy pasivas para evitar asistir a ataques de naturaleza similar:

He visto los ataques DDoS en el foro de LIHKG que se originan en dispositivos de Estados Unidos. Las personas deben estar atentas sobre la ciberseguridad. No descarguen ni instalen nada de fuentes desconocidas, eviten visitar sitios web afiliados a China (incluye compras, historietas, etc.).

Inicia la conversación

Autores, por favor Conectarse »

Guías

  • Por favor, trata a los demás con respeto. No se aprobarán los comentarios que contengan ofensas, groserías y ataque personales.