En 2016, vDos est devenu le service le plus populaire au monde pour commander des attaques DDoS.
Si vous croyez aux théories du complot, alors les sociétés antivirus elles-mêmes distribuent des virus et les services de protection contre les attaques DDoS lancent eux-mêmes ces attaques. Bien sûr, c'est de la fiction... ou pas ?
16 janvier 2020 Tribunal fédéral du district du New Jersey Tucker Preston, 22 ans, de Macon, Géorgie, pour avoir endommagé des ordinateurs protégés en transmettant un programme, un code ou une commande. Tucker est le co-fondateur de BackConnect Security LLC, qui offrait une protection contre les attaques DDoS. Le jeune homme d'affaires n'a pas pu résister à la tentation de se venger de ses clients intraitables.
La triste histoire de Tucker Preston a commencé en 2014, lorsque l'adolescent hacker et son ami Marshal Webb ont fondé la société BackConnect Security LLC, qui a ensuite été séparée de BackConnect, Inc. En septembre 2016, cette société lors de l'opération de fermeture du service vDos, qui était à l'époque considéré comme le service le plus populaire au monde pour commander des attaques DDoS. La société BackConnect aurait alors elle-même été attaquée via vDos - et aurait mené une « contre-attaque » inhabituelle, capturant 255 adresses IP ennemies par (Détournement BGP). Mener une telle attaque pour protéger ses intérêts a suscité une controverse dans la communauté de la sécurité de l'information. Beaucoup pensaient que BackConnect était allé trop loin.
Une simple interception BGP est effectuée en annonçant le préfixe de quelqu'un d'autre comme le vôtre. Les liaisons montantes/pairs l’acceptent et cela commence à se propager sur Internet. Par exemple, en 2017, prétendument à la suite d'une panne logicielle, Rostelecom (AS12389) Mastercard (AS26380), Visa et certaines autres institutions financières. BackConnect a fonctionné à peu près de la même manière lorsqu'il a exproprié les adresses IP de l'hébergeur bulgare Verdina.net.
Bryant Townsend, PDG de BackConnect dans la newsletter NANOG destinée aux opérateurs de réseaux. Il a déclaré que la décision d'attaquer l'espace d'adressage de l'ennemi n'a pas été prise à la légère, mais qu'ils sont prêts à répondre de leurs actes : « Même si nous avons eu la possibilité de cacher nos actions, nous avons estimé que ce serait une erreur. J'ai passé beaucoup de temps à réfléchir à cette décision et à la façon dont elle pourrait avoir un impact négatif sur l'entreprise et sur moi-même aux yeux de certaines personnes, mais finalement je l'ai soutenue."
Il s’est avéré que ce n’est pas la première fois que BackConnect utilise l’interception BGP, et l’entreprise a généralement une sombre histoire. Il convient toutefois de noter que l'interception BGP n'est pas toujours utilisée à des fins malveillantes. Brian Krebs qu'il utilise lui-même les services de Prolexic Communications (qui fait désormais partie d'Akamai Technologies) pour la protection DDoS. C'est elle qui a compris comment utiliser le détournement BGP pour se protéger contre les attaques DDoS.
Si une victime d'une attaque DDoS contacte Prolexic pour obtenir de l'aide, ce dernier se transfère les adresses IP du client, ce qui lui permet d'analyser et de filtrer le trafic entrant.
Étant donné que BackConnect fournissait des services de protection DDoS, une analyse a été effectuée pour déterminer lesquelles des interceptions BGP pouvaient être considérées comme légitimes dans l'intérêt de leurs clients et lesquelles semblaient suspectes. Cela prend en compte la durée de capture des adresses d’autres personnes, la mesure dans laquelle le préfixe de l’autre personne a été annoncé comme étant le sien, s’il existe un accord confirmé avec le client, etc. Le tableau montre que certaines actions de BackConnect semblent très suspectes.
Apparemment, certaines des victimes ont intenté une action en justice contre BackConnect. DANS Le nom de l’entreprise que le tribunal a reconnue comme victime n’a pas été indiqué. La victime est désignée dans le document comme Victime 1.
Comme mentionné ci-dessus, l’enquête sur les activités de BackConnect a commencé après le piratage du service vDos. Alors les administrateurs de services, ainsi que la base de données vDos, y compris ses utilisateurs enregistrés et les enregistrements des clients qui ont payé des vDos pour mener des attaques DDoS.
Ces enregistrements ont montré que l'un des comptes sur le site Web vDos était ouvert à des adresses e-mail associées à un domaine enregistré au nom de Tucker Preston. Ce compte a lancé des attaques contre un grand nombre de cibles, notamment de nombreuses attaques contre des réseaux appartenant à (FSF).
En 2016, un ancien administrateur système de la FSF a déclaré que l'organisation à but non lucratif avait envisagé à un moment donné de s'associer à BackConnect, et les attaques ont commencé presque immédiatement après que la FSF a déclaré qu'elle chercherait une autre entreprise pour fournir une protection DDoS.
selon Selon le ministère américain de la Justice, Tucker Preston risque jusqu'à 10 ans de prison et une amende pouvant aller jusqu'à 250 000 dollars, soit le double du gain ou de la perte totale résultant du crime. Le verdict sera prononcé le 7 mai 2020.
GlobalSign fournit des solutions PKI évolutives pour les organisations de toutes tailles.
Plus de détails : +7 (499) 678 2210, [email protected].
Source: habr.com