Николас Уивер, житель Беркли, университетского городка в двадцати минутах езды от Сан-Франциско, был уверен, что знает, кто стоит за атакой, – Китай. Уивер, лысеющий мужчина в очках, всегда ходит в рубашке поло, говорит четко и по делу. Когда-то он был астрофизиком, но потом заинтересовался компьютерной безопасностью. Сперва атака на GitHub не привлекла его внимания. Сайты компаний подвергаются DDoS-атакам чуть ли не каждый день, да и GitHub уже сталкивалась с ними не раз. Но в интернете начали обсуждать, кто может быть неизвестным злоумышленником, и Уивер заинтересовался. Общаясь с другими экспертами по кибербезопасности в Twitterе и блогах>5, он сузил радиус атаки до двух конкретных проектов на GitHub. Оба были связаны с GreatFire.org. Это китайская организация по противостоянию национальной интернет-цензуре. Выложенные на GitHub разработки предоставляли пользователям на территории Китая доступ к двум сайтам из черного списка – собственно сайту GreatFire и китайской версии сайта New York Times. GreatFire также входит в список иностранных антикитайских организаций по версии Управления по вопросам киберпространства КНР>6. Сайт организации уже давно подвергалась массированным DDoS-атакам и взломам. Поэтому ей пришлось перенести часть сервисов на GitHub, где они, по идее, должны были оказаться вне досягаемости.
Анализируя атаку, Уивер обнаружил доселе неизвестные элементы, которые могли иметь масштабные последствия для кибербезопасности. Совместно с Биллом Марчаком и еще семью исследователями в издательстве лаборатории Citizen Lab при Университете Торонто Уивер опубликовал работу, в которой утверждалось, что Китай разработал беспрецедентное кибероружие под названием «Большая пушка» (Great Cannon). Исследователи Citizen Lab проследили «Большую пушку» до инфраструктуры, которую использует Великий файрвол. Это гигантский аппарат интернет-цензуры, который отделяет интернет Китая от остального мира и контролирует, какие данные могут получать и передавать пользователи внутри страны.
«Факт успешного применения „Большой пушки“ представляет собой значительное достижение в области управления информацией на государственном уровне, – говорится в работе. – Цензура осуществляется путем передачи инструмента атаки в руки пользователей и нормализации широкомасштабных атак». Для атаки на GitHub «Пушка» использовала сервисы Baidu, одного из китайских интернет-гигантов. «Пушка» нашла уязвимость в системе онлайн-рекламы Baidu с миллионами показов по всему миру, перехватила трафик и перенаправила его на серверы GitHub. На тот момент сайт Baidu, которая, кстати, всячески отрицала свое участие в атаке, занимал четвертое место в мире по посещаемости. При каждом переходе на сайт с баннерами из системы Baidu код запрашивал данные с китайских серверов компании. Пока запрос обрабатывался, «Пушка» перехватывала фрагменты данных и заменяла код Baidu на свой. При этом браузер пользователя начинал снова и снова обращаться к двум проектам на GitHub.