Nel 2016 vDos è diventato il servizio più popolare al mondo per ordinare attacchi DDoS
Se credi alle teorie del complotto, le stesse società antivirus distribuiscono virus e gli stessi servizi di protezione dagli attacchi DDoS avviano questi attacchi. Naturalmente questa è finzione... o no?
16 gennaio 2020 Tribunale distrettuale federale del New Jersey Tucker Preston, 22 anni, di Macon, Georgia, con l'accusa di aver danneggiato computer protetti trasmettendo un programma, un codice o un comando. Tucker è il cofondatore di BackConnect Security LLC, che offre protezione contro gli attacchi DDoS. Il giovane uomo d'affari non ha resistito alla tentazione di vendicarsi dei suoi intrattabili clienti.
La triste storia di Tucker Preston è iniziata nel 2014, quando l'hacker adolescente, insieme al suo amico Marshal Webb, ha fondato la società BackConnect Security LLC, che è stata poi scorporata da BackConnect, Inc. Nel settembre 2016, questa azienda durante l'operazione di chiusura del servizio vDos, che all'epoca era considerato il servizio più popolare al mondo per ordinare attacchi DDoS. La stessa società BackConnect sarebbe stata attaccata tramite vDos e avrebbe effettuato un insolito "contrattacco", catturando 255 indirizzi IP nemici tramite (Dirottamento BGP). L'esecuzione di un simile attacco per proteggere i propri interessi ha causato polemiche nella comunità della sicurezza informatica. Molti pensavano che BackConnect avesse esagerato.
Una semplice intercettazione BGP viene eseguita annunciando il prefisso di qualcun altro come proprio. Gli uplink/peer lo accettano e inizia a diffondersi su Internet. Ad esempio, nel 2017, presumibilmente a causa di un guasto del software, Rostelecom (AS12389) Mastercard (AS26380), Visa e alcuni altri istituti finanziari. BackConnect ha funzionato più o meno allo stesso modo quando ha espropriato gli indirizzi IP dell'hoster bulgaro Verdina.net.
Bryant Townsend, CEO di BackConnect nella newsletter NANOG per gli operatori di rete. Ha detto che la decisione di attaccare lo spazio di indirizzo del nemico non è stata presa alla leggera, ma loro sono pronti a rispondere delle loro azioni: “Anche se abbiamo avuto l'opportunità di nascondere le nostre azioni, abbiamo pensato che sarebbe stato sbagliato. Ho passato molto tempo a pensare a questa decisione e a come avrebbe potuto riflettersi negativamente sulla società e su di me agli occhi di alcune persone, ma alla fine l'ho sostenuta."
Come si è scoperto, questa non è la prima volta che BackConnect utilizza l’intercettazione BGP e la società generalmente ha una storia oscura. Anche se va notato che l'intercettazione BGP non viene sempre utilizzata per scopi dannosi. Brian Krebs che lui stesso utilizza i servizi di Prolexic Communications (ora parte di Akamai Technologies) per la protezione DDoS. È stata lei a capire come utilizzare il dirottamento BGP per proteggersi dagli attacchi DDoS.
Se una vittima di un attacco DDoS contatta Prolexic per chiedere aiuto, quest'ultimo trasferisce a se stesso gli indirizzi IP del client, consentendogli di analizzare e filtrare il traffico in entrata.
Poiché BackConnect offriva servizi di protezione DDoS, è stata effettuata un'analisi per determinare quali intercettazioni BGP potessero essere considerate legittime nell'interesse dei propri clienti e quali apparissero sospette. Ciò tiene conto della durata della cattura degli indirizzi di altre persone, di quanto ampiamente il prefisso dell'altra persona è stato pubblicizzato come proprio, se esiste un accordo confermato con il cliente, ecc. La tabella mostra che alcune azioni di BackConnect sembrano molto sospette.
A quanto pare, alcune delle vittime hanno intentato una causa contro BackConnect. IN Non è stato indicato il nome dell'azienda che il tribunale ha riconosciuto come vittima. La vittima è indicata nel documento come Vittima 1.
Come accennato in precedenza, l’indagine sulle attività di BackConnect è iniziata dopo l’hacking del servizio vDos. Poi amministratori dei servizi, nonché il database vDos, inclusi gli utenti registrati e i record dei clienti che hanno pagato vDos per eseguire attacchi DDoS.
Questi record hanno mostrato che uno degli account sul sito web vDos è stato aperto a indirizzi e-mail associati a un dominio registrato a nome di Tucker Preston. Questo account ha avviato attacchi contro un gran numero di obiettivi, inclusi numerosi attacchi alle reti di proprietà di (FSF).
Nel 2016, un ex amministratore di sistema della FSF ha affermato che l'organizzazione no-profit a un certo punto aveva preso in considerazione la possibilità di collaborare con BackConnect e gli attacchi sono iniziati quasi immediatamente dopo che la FSF ha dichiarato che avrebbe cercato un'altra azienda per fornire protezione DDoS.
Secondo Secondo il Dipartimento di Giustizia degli Stati Uniti, Tucker Preston rischia fino a 10 anni di carcere e una multa fino a 250 dollari, che è il doppio del guadagno o della perdita totale derivante dal crimine. La sentenza sarà pronunciata il 000 maggio 7.
GlobalSign fornisce soluzioni PKI scalabili per organizzazioni di tutte le dimensioni.
Maggiori dettagli: +7 (499) 678 2210, [email protected].
Fonte: habr.com