Cina: hacker attaccano nota testata indipendente di Hong Kong

Il noto sito di citizen media con base a Hong Kong, inmediahk.net [zh] ha subito recentemente un attacco hacker del tipo DDoS, provenuto principalmente dalla Cina continentale. Il 19 aprile circa alle 16, il sito è stato messo offline da Rackspace [en], la sua piattaforma di hosting, a causa di traffico malevolo. Inmedia, rete di media formata da cittadini volontari, è stato bloccato nella Cina continentale sin dal 2007. I membri del sito credono che le loro ultime copertine riguardo recenti problemi controversi, incluso lo sciopero di lavoratori portuali e la costruzione di un pontile militare nel centro città, abbiano innescato l'attacco.

Attacchi DDoS dalla Cina

Gli amministratori hanno spiegato che l'attacco è il risultato di una pesante perdita di pacchetti di dati [en], causata da un diluvio di richieste di informazioni automatiche, che ha sovraccaricato i server del sito. Un’ ulteriore spiegazione da Rackspace a Inmediahk, ha riferito che l'attacco hacker è pervenuto maggiormente dalla Cina:

L'attacco ha preso di mira precisamente il dominio www.inmediahk.net. Quando abbiamo cambiato gli indirizzi IP nel DSN, è seguito l'attacco. Fin dalla ricerca degli indirizzi IP, è emerso un esteso gruppo di indirizzi da diversi paesi, maggiormente dalla Cina, il che è tipico per un attacco DDoS, originato da una rete di bot formata da host compromessi. L'attacco è poi passato dal tipo SYN flood a un'attacco di frammentazione TCP, dopo che abbiamo abilitato una misura che ha fornito una protezione per il SYN flood, a scapito però delle prestazioni del sito.

Per ripristinare il sito web, si è ha iniziato ad usare Cloud Flare [en], un servizio di migrazione DDoS, che pre-filtra il traffico malevolo proveniente da fonti come un botnet zombie [en] [cioè un computer che ha un programma di attacco DDoS] e uno spammer web [bot di computer che inviano spam o commenti spam] prima che essi possano raggiungere il sistema del sito. In 24 ore Cloud Flare ha registrato 608 minacce uniche al sito. Il rapporto di controllo delle minacce ha confermato che mentre gli attacchi provenivano da diversi paesi, circa la metà degli attaccanti veniva dalla Cina, inclusa Hong Kong.

 

Il sito Baidu registrato come spammer del web

Il rapporto ha anche mostrato un esteso numero di indirizzi IP (compresi tra 180.76.5.0-180.76.5.212) che sono stati registrati come spammer web. Secondo lo strumento Domain Tools’ IP information [en], questo set di IP proviene da Baidu, il  motore di ricerca cinese più usato, che è stato messo nella lista del mercato azionario USA.

Screen Capture from the threat report

Immagine dal rapporto delle minacce

Proprio perchè inmediahk.net è bloccato in Cina, tutti i visitatori cinesi devono arrivarci attraverso un VPN (Virtual Private Network [en]) o un server proxy — l'indirizzo IP dei visitatori appare così come se fosse un IP estero, esclusa la Cina continentale. Infatti, la ricerca tramite Baidu non mostra alcuni risultato collegato a inmediahk.net. Quando si cerca il titolo di un recente articolo del sito, ad esempio “香港獨立媒體網被中國黑客攻擊” [zh] [Sito di media indipendente di Hong Kong attaccato da hacker cinesi], Baidu non offre alcun risultato che porti a inmediahk.net [zh]; una ricerca identica su Google porta in primo piano l'articolo di Inmediahk in cima ai risultati [zh].

Global Voices Advocacy ha richiesto un commento riguardo l'attacco a Baidu, ma la compagnia non ad oggi ha ancora risposto.

Secondo il rapporto sull'incidente hacker [zh] di inmediahk.net, il sito è stato paralizzato già in passato dagli hacker. Pur essendosi spostato su un sito di hosting cloud nel 2010, sono continuati attacchi DDoS occasionali in periodi sensibili, come la Veglia-fiaccolata annuale per il 4 giugno [en], per commemorare le proteste a Piazza Tiananmen del 1989. Questi attacchi hanno generalmente determinato un rapido aumento in cicli di calcolo che rallentano il sito. Ma la scala dell'attacco recente è molto maggiore rispetto a quelli precedenti.

Contenuti controversi

I membri di inmediakh.net credono che gli attacchi siano innescati dai contenuti recenti del sito. Nelle ultime 2 settimane, la rete ha dato grande risonanza a uno sciopero in corso da parte dei lavoratori portuali della Hong Kong International Terminals (HIT) [en], la compagnia che copre i moli di Hong Kong, che è posseduta del magnate locale del business Li Ka-Shing. Gli articoli sul sito hanno rivelato come i lavoratori siano stati sfruttati attraverso il sistema di sub-appalti della HIT — i lavoratori sub-appaltati ora guadagnano salari più bassi di quelli del 1995. Un'altra serie di articoli polemici si focalizza sulla costruzione del Pontile militare dell'Esercito Popolare di Liberazione (PLA) [zh] presso il centro della città di Hong Kong. Si accusa il governo di violazione del piano regolatore della città nella costruzione del pontile militare del PLA, e si criticano le autorità per aver convertito un esteso pezzo del suolo cittadino da spazio di ricreazione pubblico, a suolo per il solo uso militare.

Global Voices Advocacy continuerà a seguire questa storia e i suoi sviluppi.

Nota: Oiwan Lam è un editor volontario per inmediahk.net.

 

avvia la conversazione

login autori login »

linee-guida

  • tutti i commenti sono moderati. non inserire lo stesso commento più di una volta, altrimenti verrà interpretato come spam.
  • ricordiamoci di rispettare gli altri. commenti contenenti termini violenti, osceni o razzisti, o attacchi personali non verranno approvati.