Une capture d’écran du site LIHKG durant les attaques DDoS.

LIHKG, un forum hongkongais semblable à Reddit, a été attaqué par le Grand canon chinois [fr], un outil utilisé pour lancer des attaques par déni de service distribué [fr] en insérant un script qui intercepte le trafic internet et le redirige vers les sites ciblés.

Depuis mars 2019, LIHKG est très fréquenté par les protestataires hongkongais : c’est le plus important forum de diffusion d'informations et de discussions stratégiques sur les manifestations contre l'extradition à Hong Kong. La cyberattaque a été lancée avant le rassemblement du 31 août, qualifié d'”illégal” par la police de Hong Kong.

Selon une déclaration officielle publiée par le forum, entre 08:00 et 23:59 le 31 août 2019, le site a reçu un total 1,5 milliards de requêtes. Au pic de l'attaque, le forum recevait 260 000 requêtes par seconde et 6,5 millions de visiteurs uniques par heure. Comme l'ampleur de l'attaque était sans précédent, l'administrateur du forum pense qu'elle était soutenue par l’État :

We have reasons to believe that there is a power, or even a national level power behind such attacks as botnet from all over the world were manipulated in launching this attack.

Nous avons des raisons de croire qu'il y a un pouvoir, ou même un pouvoir au niveau national, derrière de telles attaques car des botnets du monde entier ont été manipulés pour lancer cette attaque.

L'équipe de sécurité informatique a rapidement remis le site en ligne avec une mesure de protection, un CAPTCHA sur la page d'accueil. Cependant, l'application mobile de LIHKG a été perturbée pendant quelques jours et elle est toujours instable.

Lorsque cette nouvelle s’est répandue, les informaticiens locaux et étrangers ont tendu la main pour aider le forum à découvrir d'où venait l'attaque. Comme prévu, elle a été redirigée par un script provenant d'entreprises chinoises :

China wrote a script that is made for DDoSing LIHKG.
In the script they included a feedback adress (116.255.226.154).
If you look up who is that, you will find Chinese companies.
This explains who caused the downage today.
Script: https://t.co/pyyl12bFCx#HongKong #LIHKG pic.twitter.com/RzIEVRV1LT

— throwawayconstant (@throwawayconst) August 31, 2019

La Chine a codé un script pour attaquer LIHKG par déni de service distribué.
Dans le script ils ont inclus une adresse de retour (116.255.226.226.154).
Si vous cherchez qui c'est, vous trouverez des entreprises chinoises.
Ça explique qui a causé l’attaque aujourd'hui.
Le script : https://t.co/pyyl12bFCx

Selon LIHKG, le trafic massif vers le forum a été redirigé via les sociétés chinoises Qihucdn.com et Baidu.

Le registre qui fournit des informations sur les noms de domaines montre que le l’État ou la province d'enregistrement de Qihucdn.com est Pékin. Le nom du serveur est 360safe.com, le même que celui de Qihoo 360, une plate-forme chinoise de premier plan qui prétend “protéger les ordinateurs et les téléphones des utilisateurs contre les logiciels et les sites malveillants”. Cette société est connue pour ajouter des logiciels malveillants à la liste blanche.

Comme les produits de protection de Qihoo sont largement utilisés par les petites entreprises et les citoyens chinois, les utilisateurs de LIHKG ont accusé la société d’avoir mené l'attaque DDoS en insérant un script malveillant à travers leur “service de sécurité”.

De même, Baidu, le plus grand moteur de recherche en Chine, redirigeait le trafic vers LIHKG. Le site a également été impliqué dans une autre attaque DDoS massive ciblant Github en 2015.

Le Grand canon

Des rapports techniques sur l'incident de Github de 2015 expliquaient que l'attaque a utilisé un mécanisme d’homme du milieu [fr], qui interceptait les demandes internet vers la Chine en provenance du monde entier, puis remplaçait le contenu par du code JavaScript attaquant le site visé. En particulier, dans le cas de Github, il a intercepté les données analysées de Baidu et redirigé le trafic vers Github, d’où l'apparence d'une l'attaque qui semble venir “de partout”.

Le Citizen Lab, un centre de recherche sur les technologies de l'information et de la communication fondé sur les droits humains de l'Université de Toronto, a qualifié ce genre d'attaque agressive de “Grand canon”.

Le centre de recherche a découvert en 2015 que le Grand canon peut “manipuler le trafic des systèmes tiers hors de Chine en programmant silencieusement leurs navigateurs pour créer une attaque DDoS massive”. L'attaque est similaire au système QUANTUM de la NSA, capable de “cibler tout ordinateur étranger qui communique avec tout site internet basé en Chine qui n'utilise pas le protocole HTTPS”.

L'expert en cybersécurité Chris Doman a examiné le code JavaScript de l'attaque de LIHKG et il a souligné sur Twitter :

It looks like the attackers upgraded the code during the attack to check for Cloudflare and target more URLs: pic.twitter.com/2wqP9gj7pR

— chris doman (@chrisdoman) September 2, 2019

Premier tweet : J'ai jeté un coup d’œil à la récente attaque du Grand canon contre le site de protestation de Hong Kong pendant le weekend. Quelques notes ci-dessous. Images de Citizen Lab.

Second tweet : Il semble que les attaquants aient mis le code à jour lors de l'attaque pour chercher Cloudflare [fr] et cibler plus d'URL.

Alors que LIHKG a bloqué toutes les adresses IP chinoises, quand quelqu'un de l'étranger visitait Baidu ou Qihoo360, hébergés en Chine continentale, le script le redirigeait vers LIHKG. Le forum a fait face à une attaque DDoS massive venant du monde entier :

LIHKG enduring DDOS attack on a global scale. #followbackhk #FreeHK pic.twitter.com/FKxFJNrEEf

— The Chap?? (@DudeChapDude) August 31, 2019

LIHKG subit une attaque DDOS à l'échelle mondiale.

En 2015, lorsque Github a été attaqué, Baidu a nié son implication et sa responsabilité puisque c’était une attaque de l’homme du milieu. Qui est capable de contrôler l'appareil qui peut insérer un script pour rediriger le trafic internet de la Chine vers la cible ? Le doigt est pointé vers le gouvernement chinois, qui contrôle également le Grand firewall de Chine [fr] qui bloque les sites, et filtre les mots-clés, sensibles.

Ce qui est arrivé à LIHKG n'est pas un cas isolé. La majorité des médias indépendants et des forums citoyens à Hong Kong sont victimes d'attaques DDoS au niveau de l'État depuis la Chine continentale. En 2014, un site de vote citoyen et le site d'actualités Apple Daily, dirigés par des citoyens, avaient fait l'objet d'attaques DDoS, dans une tentative de réduire au silence les voix qui soutenaient la campagne Occupy Central [fr] ainsi qu'un référendum civil visant à modifier le système électoral local. Toutefois, les autorités locales n'avaient mené aucune enquête sur les attaques dirigées contre des civils. Aujourd'hui, la majorité des médias locaux indépendants et des sites militants doivent bloquer les adresses IP venant de la Chine continentale et souscrire à des plans de sécurité coûteux pour rester accessibles aux internautes.

En ce qui concerne la dernière série d'attaques contre LIHKG, il est très probable qu'aucune entité ne sera tenue responsable de l'acte malveillant. Les internautes peuvent seulement prendre des mesures de protection très passives pour éviter d'assister à des attaques similaires.

Have seen DDoS attacks on @lihkg_forum originating from US devices. People need to be vigilant about cyber security. Don't download/install anything from unknown sources, avoid visiting China-affiliated websites (includes shopping, comics, etc.) #StandWithHongKong #LIHKG

— Humanity First (@alittletyrant) September 4, 2019

Ai vu des attaques DDoS sur le forum LIHKG provenant d'appareils américains. Les gens doivent être plus vigilants quant à la cybersécurité. Ne téléchargez / n'installez rien de sources inconnues, évitez de visiter les sites internet basés en chine (notamment le shopping, les bandes dessinées, etc.).