Im Jahr 2016 wurde vDos zum weltweit beliebtesten Dienst für die Anordnung von DDoS-Angriffen
Glaubt man Verschwörungstheorien, dann verbreiten Antiviren-Unternehmen selbst Viren und DDoS-Angriffsschutzdienste initiieren diese Angriffe selbst. Natürlich ist das Fiktion... oder nicht?
16. Januar 2020 Bundesbezirksgericht von New Jersey Tucker Preston, 22, aus Macon, Georgia, wegen einer Beschädigung geschützter Computer durch die Übertragung eines Programms, Codes oder Befehls. Tucker ist Mitbegründer von BackConnect Security LLC, das Schutz vor DDoS-Angriffen bot. Der junge Geschäftsmann konnte der Versuchung nicht widerstehen, sich an seinen hartnäckigen Kunden zu rächen.
Die traurige Geschichte von Tucker Preston begann im Jahr 2014, als der jugendliche Hacker zusammen mit seinem Freund Marshal Webb das Unternehmen BackConnect Security LLC gründete, das dann aus BackConnect, Inc. ausgegliedert wurde. Im September 2016 wurde dieses Unternehmen während der Operation zur Schließung des vDoS-Dienstes, der damals als der weltweit beliebteste Dienst zur Anordnung von DDoS-Angriffen galt. Das Unternehmen BackConnect wurde dann angeblich selbst über vDos angegriffen – und führte einen ungewöhnlichen „Gegenangriff“ durch, indem es 255 feindliche IP-Adressen erbeutete (BGP-Hijacking). Die Durchführung eines solchen Angriffs zum Schutz der eigenen Interessen hat in der Informationssicherheitsgemeinschaft zu Kontroversen geführt. Viele hatten das Gefühl, dass BackConnect übertrieben war.
Ein einfaches BGP-Abfangen wird durchgeführt, indem das Präfix einer anderen Person als Ihr eigenes bekannt gegeben wird. Uplinks/Peers akzeptieren es und es beginnt sich im Internet zu verbreiten. Beispielsweise im Jahr 2017, angeblich aufgrund eines Softwarefehlers, Rostelecom (AS12389) Mastercard (AS26380), Visa und einige andere Finanzinstitute. Ähnlich funktionierte BackConnect, als es IP-Adressen des bulgarischen Hosters Verdina.net enteignete.
Bryant Townsend, CEO von BackConnect im NANOG-Newsletter für Netzbetreiber. Er sagte, dass die Entscheidung, den Adressraum des Feindes anzugreifen, nicht leichtfertig getroffen wurde, er aber bereit sei, sich für seine Taten zu verantworten: „Obwohl wir die Möglichkeit hatten, unsere Taten zu verbergen, hatten wir das Gefühl, dass es falsch wäre.“ Ich habe viel Zeit damit verbracht, über diese Entscheidung nachzudenken und darüber, wie sie sich in den Augen mancher Menschen negativ auf das Unternehmen und mich auswirken könnte, aber letztendlich habe ich sie unterstützt.“
Wie sich herausstellte, ist dies nicht das erste Mal, dass BackConnect das Abfangen von BGP nutzt, und das Unternehmen hat im Allgemeinen eine dunkle Geschichte. Allerdings ist zu beachten, dass das Abfangen von BGP nicht immer für böswillige Zwecke genutzt wird. Brian Krebs dass er selbst die Dienste von Prolexic Communications (heute Teil von Akamai Technologies) zum DDoS-Schutz nutzt. Sie hat herausgefunden, wie man BGP-Hijack zum Schutz vor DDoS-Angriffen nutzen kann.
Wenn ein DDoS-Angriffsopfer Prolexic um Hilfe bittet, überträgt Letzteres die IP-Adressen des Clients an sich selbst und kann so den eingehenden Datenverkehr analysieren und filtern.
Da BackConnect DDoS-Schutzdienste bereitstellte, wurde eine Analyse durchgeführt, um festzustellen, welche der BGP-Abhörvorgänge im Interesse ihrer Kunden als legitim angesehen werden konnten und welche verdächtig wirkten. Dabei wird berücksichtigt, wie lange die Adressen anderer Personen erfasst werden, wie weit verbreitet die Vorwahl der anderen Person als ihre eigene beworben wurde, ob eine bestätigte Vereinbarung mit dem Kunden vorliegt usw. Die Tabelle zeigt, dass einige Aktionen von BackConnect sehr verdächtig aussehen.
Offenbar haben einige der Opfer eine Klage gegen BackConnect eingereicht. IN Der Name des Unternehmens, das das Gericht als Opfer erkannte, wurde nicht genannt. Das Opfer wird in dem Dokument als bezeichnet Opfer 1.
Wie oben erwähnt, begann die Untersuchung der Aktivitäten von BackConnect, nachdem der vDos-Dienst gehackt wurde. Dann Dienstadministratoren sowie die vDos-Datenbank, einschließlich ihrer registrierten Benutzer und Datensätze von Kunden, die vDos für die Durchführung von DDoS-Angriffen bezahlt haben.
Diese Aufzeichnungen zeigten, dass eines der Konten auf der vDos-Website für E-Mail-Adressen geöffnet wurde, die mit einer Domain verknüpft waren, die auf den Namen Tucker Preston registriert war. Dieses Konto initiierte Angriffe gegen eine große Anzahl von Zielen, darunter zahlreiche Angriffe auf Netzwerke von (FSF).
Im Jahr 2016 sagte ein ehemaliger FSF-Systemadministrator, die gemeinnützige Organisation habe zu einem bestimmten Zeitpunkt über eine Partnerschaft mit BackConnect nachgedacht, und die Angriffe begannen fast unmittelbar, nachdem FSF angekündigt hatte, nach einem anderen Unternehmen für den DDoS-Schutz zu suchen.
Согласно Nach Angaben des US-Justizministeriums drohen Tucker Preston in diesem Zusammenhang bis zu zehn Jahre Gefängnis und eine Geldstrafe von bis zu 10 US-Dollar, was dem Doppelten des gesamten Gewinns oder Verlusts aus der Straftat entspricht. Das Urteil wird am 250. Mai 000 verkündet.
GlobalSign bietet skalierbare PKI-Lösungen für Unternehmen jeder Größe.
Weitere Details: +7 (499) 678 2210, [E-Mail geschützt] .
Source: habr.com