Ранее неизвестная хакерская группировка UkDrillas взяла на себя ответственность за DDoS-атаку на Википедию и Twitch
7 сентября 2019 года
В этой статье упоминается Фонд Викимедиа, какой-либо из его проектов или люди, имеющие к ним отношение. Викиновости — один из проектов Фонда Викимедиа. |
6 сентября 2019 года в конце девятого часа вечера по московскому времени Википедия и другие проекты Викимедиа перестали открываться у многих пользователей в Европе и мире, а сервисы по контролю доступности интернет-ресурсов зафиксировали падение сайта. Вскоре это прекратилось, но ненадолго: в 23:53 МСК аккаунт Викимедиа Германия в Твиттере сообщил о масштабной DDoS-атаке на сервера, которая в итоге с перерывами продолжалась до 5:40.

Незадолго до сообщения немецких викимедийцев, в 23:39 МСК, с зарегистрированного в сентябре 2019 года твиттер-аккаунта @UKDrillas было отправлено первое сообщение о том, что владельцы аккаунта атакуют амстердамские (Esams) и американские (Eqiad) сервера Фонда Викимедиа и держат их недоступными с 23:00 МСК, а незадолго до этого атаковали их же в испытательных целях спорадически:
![]() | В данный момент кладём каналы @Wikipedia 20-гигабитный AMS-IX и 10-гигабитный «Эквиникс Чикаго». Айпи: 91.198.174.192 и 208.80.153.224 соответственно. Начали атаковать с перерывами несколько часов назад для испытаний. Положили с 9 вечера по британскому летнему времени. =) Оригинальный текст(англ.)
Currently dropping @Wikipedia
20G AMS-IX and 10G Equinix Chicago lines. IPs: 91.198.174.192,208.80.153.224 respectively. Started attacking intermittently a few hours ago for testing. Being held since 9PM BST+0. =) | ![]() |
Если верить информации в этом твиттере, вскоре после этого хакеры параллельно атаковали популярных стримеров на Twitch.
По словам владельцев учётной записи, для атаки они использовали заражённые ими устройства, подключённые к «Интернету вещей» (IoT), а корыстного интереса у них на данный момент нет:
![]() | Бро. WannaCry — вирус-вымогатель.
У нас нет материальной заинтересованности. Мы просто испытываем некоторые новые IoT-девайсы, которые мы загрузили недавно. Оригинальный текст(англ.)
Bruh. WannaCry is ransomware.
We have no finiancial incentive. This is just testing some new IOT devices which we're loaded not long ago. | ![]() |
В 0:41 в аккаунте появилось сообщение, что атака прекращена на четыре минуты с целью доказать аутентичность аккаунта, и по информации (Архивная копия от 11 августа 2020 на Wayback Machine) TJ, Википедия действительно была доступна в этот промежуток времени.
Пиковая мощность атаки, по данным сервиса Grafana Wikimedia Foundation, составила в 21:08 МСК почти 24 Гбит/с на сервера в Виргинии (Викиновостям не удалось найти в открытом доступе данных о сетевой загрузке амстердамских серверов[1]).
В 21:35 МСК инженер Фонда Викимедиа Брэндон Блэк (BBlack (WMF)) написал в IRC-канале #wikimedia-operations
, предназначенном для координации инженеров, поддерживающих сервера Фонда:
![]() | <…> Нет смысла официально не заявить, поскольку технически это очевидно: мы подверглись очень большой и широкой DDoS-атаке.
Оригинальный текст(англ.)
<…> there's no point not officially stating it, since it's technologically obvious - we are suffering from a very large and broad DDoS attack.
| ![]() |
Сообщение не заархивировалось в публичном логе (Архивная копия от 22 ноября 2018 на Wayback Machine) канала, поскольку, как пояснил в Фейсбуке бывший старший аналитик Фонда Тильман Байер, около 21:22 МСК предположительно из-за нерасчётного количества сообщений на IRC-сервере отключился специально предназначенный для этой цели бот.
В кратком официальном коммюнике Фонда Викимедиа утром 7 сентября мотивацией атакующих названа популярность Википедии. О том, что было выведено из строя большинство проектов Фонда вообще, не упомянуто.
В силу устройства инфраструктуры Фонда, а также расположения атакующих, основной удар пришёлся на кластер серверов в Амстердаме, обслуживающий пользователей большей части Восточного полушария. Его главный IP-адрес 91.198.174.192 был временами недоступен ни для каких запросов. Вчера около 21 часа по московскому времени многие остававшиеся без обслуживания пользователи были переключены на сервера Викимедиа в Виргинии посредством изменения адресного отображения имени dyna.wikimedia.org; проведение такой корректировки распределения пользователей подтверждается сильным всплеском сетевой активности на американском кластере, заметным на графиках около 21:10 МСК (18:10 UTC). Уже упоминавшийся выше сотрудник Фонда Брэндон Блэк подтвердил, что запросы пользователей переключалось между разными частями инфраструктуры Викимедиа. Однако вскоре отображение dyna.wikimedia.org для пользователей Старого Света было направлено обратно в Амстердам. Работа кластера в Виргинии, судя по данным Grafana, не была серьёзно нарушена. Работа амстердамских серверов была в основном нормализована к 5:45 МСК 7 сентября.
Утром 7 сентября предположительные хакеры пригрозили продолжить атаки «в то же время завтра»:
![]() | Уже прекратили бить твич наряду с Википедией. Вернёмся в то же время завтра =)
Оригинальный текст(англ.)
Stopped hitting twitch along with Wikipedia earlier.
We'll be back same time tomorrow =) | ![]() |
Несколько минут назад аккаунт злоумышленников вновь активизировался, но сообщений об атаках на проекты Викимедиа в нём пока нет.
Продолжение: Википедия получила 2,5 млн долларов на безопасность от Крейга Ньюмарка |
Примечания
[править]- ↑ На соответствующей вкладке сервиса во втором ряду справа показывается No data points: https://grafana.wikimedia.org/d/000000607/cluster-overview?from=1567789200000&to=1567825200000&var-server=bast3002&var-datasource=esams%20prometheus%2Fops&var-cluster=All&orgId=1
Источники
[править]- «Wikipedia disrupted globally in apparent denial of service attack». NetBlocks, 6 сентября 2019 года. (архив)
- Роман Московский «Пользователи «Википедии» по всему миру массово пожаловались на недоступность сервиса». TJ, 7 сентября 2019 года. (архив) (Архивная копия от 11 августа 2020 на Wayback Machine)
- «Malicious attack on Wikipedia—What we know, and what we’re doing». Wikimedia Foundation, 7 сентября 2019 года. (архив)
Ссылки
[править]- phab:T232224
- https://grafana.wikimedia.org/d/000000330/varnish-machine-stats?from=1567786000000&to=1567894000000&var-datasource=esams%20prometheus%2Fops&var-cluster=bastion&var-instance=All&orgId=1 (состояние кластера в Амстердаме)
- https://grafana.wikimedia.org/d/000000330/varnish-machine-stats?from=1567786000000&to=1567840000000&var-datasource=eqiad%20prometheus%2Fops&var-cluster=bastion&var-instance=All&orgId=1 (состояние кластера в Виргинии)
- https://www.facebook.com/groups/wikipediaweekly/permalink/2357240037657147
- https://twitter.com/UKDrillas/with_replies
Комментарии[править]

Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
- .."я понимаю атака на популярных блогеров, чтобы не расслаблялись, а Википедия тут причём".. — Это неподписанное сообщение добавлено 92.37.142.20 (обс · вклад) 16:41, 7 сентября 2019 (UTC)
- После атаки на Blizzard, до возобновления атаки на Википедию дело может не дойти
— Vort (обсуждение) 17:28, 7 сентября 2019 (UTC)
- 7 сентября 2019
- Новости 2019 года
- 2019
- 7 сентября
- Сентябрь 2019
- Викимедиа
- Материалы NetBlocks
- Материалы TJ
- Материалы Фонда Викимедиа
- DDoS-атаки
- DoS-атаки
- Grafana
- IRC
- TJ
- Twitch
- WannaCry
- Амстердам
- Ашберн (Виргиния)
- Безопасность
- Брэндон Блэк
- Вики-проекты Викимедиа
- Викимедиа Германия
- Викимедийцы
- Википедия
- Виргиния
- Европа
- Интернет
- Интернет в Нидерландах
- Интернет в США
- Интернет вещей
- Информационная безопасность
- Компьютерные технологии
- Криминал
- Наука и технологии
- Нидерланды
- Преступность
- Преступность и право
- Происшествия
- Северная Америка
- События Викимедиа
- США
- Технологии
- Технологии в Нидерландах
- Технологии в США
- Тильман Байер
- Фонд Викимедиа
- Хакерские атаки
- Хакеры
- Опубликовано
- Сетевой трафик