MTProxy-серверы Telegram использовались в DDoS-атаках на иранского облачного провайдера

Иранский провайдер облачного сервиса Arvan Cloud подвергся DDoS-атаке, осуществленной через MTProxy-серверы Telegram. Поскольку Telegram по-прежнему запрещен в Иране, пользователи запускают мессенджер через MTProxy-серверы, маскируя трафик с помощью шифрования.

Вредоносная кампания началась утром 6 ноября и закончилась к концу недели. На пике атаки осуществлялось около 5 тыс. запросов в секунду, нарушая работу многих web-сайтов в Иране.

Как рассказали в компании Arvan Cloud, данные атаки отличались от наблюдаемых ранее в том, что в запросах не было указания домена, а трафик записывался на канальном уровне. Кроме того, в атаке не использовались распространенные протоколы.

Инженерам компании удалось определить источник вредоносного трафика, сделав предположение об использовании MTProxy-серверов. Данное предположение связано с популярностью MTProxy-серверов в Иране благодаря возможности их бесплатного использования и простоте в применении. Использование данных серверов не составит труда, поскольку злоумышленнику достаточно заменить IP-адрес одного прокси-сервера на IP-адрес целевой системы. Прокси-домены могут иметь несколько IP-адресов, и Telegram отправляет запросы на каждый из них. Замена одного IP-адреса (если остальные будут работать нормально) никак не повлияет на работу сервиса, и пользователь не заметит ничего подозрительного, отметили специалисты.