La plataforma de medios ciudadanos con sede en Hong Kong inmediahk.net [zh] sufrió un ataque distribuido de denegación de servicios (DDoS, por sus siglas en inglés) la semana pasada, procedente principalmente de China. El 19 de abril a las 4 p.m. aproximadamente, el sitio web fue desconectado por Rackspace [en], anfitrión en la nube del sitio web, debido al tráfico malicioso. Inmedia, una red de voluntarios de medios ciudadanos, ha estado bloqueado en China continental desde 2007. Miembros de Inmedia creen que la reciente cobertura de temas polémicos, incluyendo una huelga de estibadores en Hong Kong y la construcción de un muelle militar en el centro de la ciudad, puede haber provocado el ataque.

Ataques DDoS de China

Los administradores explicaron que el ataque resultó en una gran pérdida de paquetes [en] causada por una avalancha de solicitudes automatizadas de datos que dejaron los servidores del sitio sobrecargados. Una explicación más detallada de Rackspace para inmediahk.net dijo que los ataques DDoS provinieron principalmente de China:

El ataque tenía como objetivo específicamente el nombre de dominio www.inmediahk.net. Cuando cambiamos de IP en el DNS, el ataque continuó. En cuanto a los IPs de origen, era un numeroso grupo de direcciones de varios países diferentes, en su mayoría procedentes de China, lo que es típico de un DDoS desde un botnet de anfitriones comprometidos. El ataque pasó de una avalancha SYN a un ataque de fragmentación TCP después de que activamos una medida que proporciona protección contra avalanchas SYN a expensas del rendimiento del sitio.

A fin de restaurar el sitio web, inmediahk.net ha comenzado a utilizar Cloud Flare [en], un servicio de mitigación de DDoS, para pre-filtrar el tráfico malicioso procedente de fuentes como zombi botnets [ordenadores con un programa de ataque DDoS] y emisores de spam [los robots informáticos que envían spam o publican comentarios parecidos al spam] antes de que alcancen el sistema del sitio. En 24 horas, Cloud Flare registró 608 amenazas únicas al sitio. Un informe de control de amenazas confirmó que si bien los ataques provienen de diferentes países, casi la mitad de los atacantes son de China, incluyendo Hong Kong.

Baidu denunciado como emisor de spam

El informe también mostró un gran número de direcciones IP (entre 180.76.5.0-180.76.5.212) que se registraban como emisores de spam. Según la información sobre IPs de Domain Tools [en], este conjunto de direcciones IP proviene de Baidu, el mayor motor de búsqueda de China, que cotiza en el mercado de valores de EE.UU.

Captura de pantalla del informe de amenazas

Dado que inmediahk.net está bloqueado en China, todas las visitas procedentes de China deben llegar a través de un VPN (Red Privada Virtual) o un servidor proxy — por lo tanto, las direcciones IP de los visitantes parecen provenir del extranjero en lugar de China continental. De hecho, el motor de búsqueda de Baidu no muestra resultados que enlazan con inmediahk.net. Cuando se busca el título de un reciente artículo de inmediahk.net «香港獨立媒體網被中國黑客攻擊» [zh] [Sitio web de medios independientes de Hong Kong atacado por hackers de China], Baidu no ofrece ningún resultado que lleve a inmediahk.net [zh]; una búsqueda idéntica en Google lleva al artículo de inmediahk.net como primer resultado [zh].

Global Voices Advocacy pidió a Baidu que comentase sobre el ataque, pero la empresa aún no había respondido a la fecha de publicación.

Según el informe sobre el incidente de hackeo [zh] de inmediahk.net, el sitio web ha sido paralizado por hackers con anterioridad. A pesar de haber cambiado a un servicio de alojamiento en la nube en 2010, ha seguido sufriendo ataques DDoS ocasionales cerca de fechas sensibles, como la vigilia anual del 4 de junio [en] para conmemorar las protestas de 1989 en la Plaza de Tian'anmen. Esto han dado típicamente como resultado un rápido aumento de los ciclos computacionales que ralentizan el sitio web. Sin embargo, la magnitud del reciente ataque es muy superior a la de ataques anteriores.

Contenido polémico

Los miembros de inmediahk.net creen que el ataque fue provocado por los contenidos recientes en el sitio. En las últimas dos semanas, la red ha estado cubriendo una huelga en curso de los trabajadores portuarios de Hong Kong International Terminals (HIT) [en], la empresa que opera los muelles de Hong Kong y es propiedad del magnate de los negocios locales Li Ka-Shing. Artículos en el sitio exponen cómo los trabajadores han sido explotados por el sistema de subcontratación de HIT — los trabajadores subcontratados actualmente ganan salarios inferiores a los de 1995. Otra serie polémica se centra en la construcción del muelle para la armada del Ejército Popular de Liberación (PLA, por sus siglas en inglés) [zh] en el distrito Central, el centro urbano de Hong Kong. Acusa al gobierno de Hong Kong de violar los protocolos de planificación de la ciudad en la construcción del muelle del PLA y critica a las autoridades por convertir una gran parte del terreno de la ciudad de un espacio público recreativo a uno para uso militar.

Global Voices Advocacy continuará cubriendo esta historia a medida que evoluciona.

Nota de GVA: Oiwan Lam es redactora voluntaria para inmediahk.net.