Chiny wznowiły rządową kampanię cyberataków na Hongkong - twierdzą eksperci z działu cyberbezpieczeństwa firmy AT&T, którzy wykryli aktywność tzw. „Wielkiego Działa” używanego wcześniej do ataków DDoS mających zakłócać działanie hongkońskich systemów.
Według AT&T "Wielkie Działo" ("Great Cannon") pierwszy raz zostało użyte przez Chiny 31 sierpnia. Jego najnowsza aktywność może jednak być datowana na 25 listopada. Atak, którego dokonano z jego użyciem, był ukierunkowany na stronę internetową LIHKG.com, którą uczestnicy demonstracji w Hongkongu wykorzystują do koordynacji swoich działań. Celem było zakłócenie, a ostatecznie uniemożliwienie jej działania.
"Wielkie Działo" z technicznego punktu widzenia służy do przechwytywania ruchu internetowego ze stron, które działają w oparciu o serwery zlokalizowane w Chinach i umieszczania złośliwych skryptów napisanych w języku JavaScript we fragmentach kodu służących do analityki internetowej. W rezultacie urządzenia, z których korzystają użytkownicy odwiedzający zaatakowane w ten sposób strony, mogą być wykorzystywane do ataku na określone domeny (tak, jak ma to miejsce w przypadku botnetów IoT).
Według ekspertów AT&T kod wykorzystywany w ostatniej chińskiej operacji był zbudowany tak, by przekierowywał ruch nie tylko na stronę LIHKG.com, ale też do różnych witryn internetowych, na których znajdują się memy polityczne umieszczane w tej witrynie. Celem było zamaskowanie sztucznego ruchu internetowego i ukrycie aktywności "Wielkiego Działa" w jej początkowej fazie.
Przedstawiciele zespołu bezpieczeństwa AT&T wskazują, że skuteczność zaplanowanej przez Chiny operacji może być raczej niewielka "częściowo ze względu na to, że atakowana strona znajduje się pod ochroną usługi mającej zabezpieczać ją przed atakami DDoS, jak i ze względu na błędy zawarte w złośliwym kodzie JavaScript". Firma podkreśliła przy tym, że jeśli chodzi o błędy w złośliwych skryptach, nie udzieli obecnie szerszych informacji.
Istnienie chińskiego "Wielkiego Działa" zostało ujawnione około cztery lata temu, kiedy zostało ono wykorzystane do ataku na organizację sprzeciwiającą się cenzurze - Greatfire.org. Badacze bezpieczeństwa, którzy ujawnili istnienie "Wielkiego Działa" oceniają, że znajdowało się ono wówczas w tym samym miejscu, co infrastruktura tzw. "Wielkiego Chińskiego Firewalla", który jest głównym narzędziem dla internetowej cenzury.
Jak ostrzegają specjaliści, "Wielkie Działo" może nie tylko służyć do ataków DDoS (zmasowanej odmowy dostępu do usług), ale i do sprawnego oraz szybkiego rozpowszechniania złośliwego oprogramowania.