Преди месец Github се сблъска с мощна DDoS-атака, която продължи няколко дни и се предполагаше, че е осъществена от китайски киберсили чрез инжектиране на допълнителен код в уеб-страниците на екосистемата baidu.com, който инициира масови циклични запитвания към Github. Това е твърде необичаен начин за осъществяване на подобна мащабна атака, възможен само в държави с много дълбоко инспектиране и филтриране на Интернет-трафика.
Google събра и анализира статистическите данни, натрупвани чрез Интернет-услугата Safe Browsing, предназначена за разкриване на опасни сайтове и предупреждаване на потребителите и уеб-дизайнерите. Услугата е интегрирана в браузърите Chrome, Firefox и Safari.
Изследването обхваща анализ на трафика от 1-ви март до 15-ти април 2015 година. Първите признаци за вмъкване на скриптове в уеб-страниците на Baidu са за засечени на 3-ти март. Последният случай е от 3-ти април тази година. Графиката показва JS и HTML инжекциите по дни и като част от общото инжектиране.
Google обръща внимание, че атаката е осъществена на няколко етапа. От 3-ти до 6-ти март са проведени тестове на технологията от IP-адрес 114.113.156.119:56789. Следва междинен етап, при който за мишена е използван сайта d3rkfw22xppori.cloudfront.net, като са използвани HTTP и HTTPS запитвания. На 18-ти март мишените стават повече и вмъкваните скриптове са усъвършенствани. На 25-ти март атаката срещу Cloudfront е прекратена и започва нападението срещу Github.Използвани са общо 19 JS-скрипта с дължина на кода от 995 до 1325 байта. Кодът е инжектиран в уеб-страниците на следните домейни:cbjs.baidu.com (123.125.65.120)eclick.baidu.com (123.125.115.164)hm.baidu.com (61.135.185.140)pos.baidu.com (115.239.210.141)cpro.baidu.com (115.239.211.17)bdimg.share.baidu.com (211.90.25.48)pan.baidu.com (180.149.132.99)wapbaike.baidu.com (123.125.114.15)Google подчерта, че ако целият Интернет използваше TLS, подобни атаки щяха да бъдат невъзможни.
