חברת הגנת DDoS עצמה פתחה בהתקפות DDoS, הודה מייסדה

עד 2016, vDos הפך לשירות הפופולרי ביותר בעולם להזמנת התקפות DDoS

אם אתה מאמין לתיאוריות קונספירציה, אז חברות אנטי-וירוס עצמן מפיצות וירוסים, ושירותי הגנת התקפות DDoS בעצמם יוזמים את ההתקפות הללו. כמובן, זו בדיה... או לא?

16 בינואר 2020 בית המשפט המחוזי הפדרלי של ניו ג'רזי נמצא אשם טאקר פרסטון, בן 22 ממייקון, ג'ורג'יה, על ספירה אחת של פגיעה במחשבים מוגנים על ידי שידור תוכנית, קוד או פקודה. טאקר הוא המייסד המשותף של BackConnect Security LLC, שהציעה הגנה מפני התקפות DDoS. איש העסקים הצעיר לא יכול היה לעמוד בפיתוי לנקום בלקוחותיו הבלתי פתירים.

סיפורו העצוב של טאקר פרסטון החל בשנת 2014, אז הקים את האקר המתבגר, יחד עם חברו מרשל ווב, את החברה BackConnect Security LLC, שהופעלה אז מ- BackConnect, Inc. בספטמבר 2016, חברה זו נדלק במהלך המבצע לסגירת שירות vDos, שנחשב באותה תקופה לשירות הפופולרי ביותר בעולם להזמנת התקפות DDoS. חברת BackConnect הותקפה אז בעצמה באמצעות vDos - וביצעה "התקפת נגד" יוצאת דופן, ותפסה 255 כתובות IP של אויב על ידי יירוט BGP (חטיפת BGP). ביצוע מתקפה כזו כדי להגן על האינטרסים של האדם עורר מחלוקת בקהילת אבטחת המידע. רבים חשו ש-BackConnect הגזימה.

יירוט BGP פשוט מתבצע על ידי הכרזת הקידומת של מישהו אחר כשלך. קישורים למעלה/עמיתים מקבלים את זה, וזה מתחיל להתפשט ברחבי האינטרנט. לדוגמה, בשנת 2017, לכאורה כתוצאה מכשל בתוכנה, Rostelecom (AS12389) התחילו להכריז על קידומות מאסטרקארד (AS26380), ויזה וכמה מוסדות פיננסיים אחרים. BackConnect עבדה באותה צורה כשהיא הפקיעה כתובות IP מהמארח הבולגרי Verdina.net.

מנכ"ל BackConnect, בראיינט טאונסנד מוּצדָק בניוזלטר NANOG למפעילי רשתות. לדבריו, ההחלטה לתקוף את מרחב הכתובות של האויב לא התקבלה בקלות ראש, אך הם מוכנים לענות על מעשיהם: "למרות שהייתה לנו הזדמנות להסתיר את מעשינו, הרגשנו שזה יהיה פסול. ביליתי הרבה זמן במחשבה על ההחלטה הזו וכיצד היא עשויה לשקף לרעה את החברה ואותי בעיני אנשים מסוימים, אבל בסופו של דבר תמכתי בה".

כפי שהתברר, זו לא הפעם הראשונה ש-BackConnect משתמש ביירוט BGP, ולחברה יש בדרך כלל היסטוריה אפלה. אם כי יש לציין כי יירוט BGP אינו משמש תמיד למטרות זדוניות. בריאן קרבס כותבשהוא עצמו משתמש בשירותי Prolexic Communications (כיום חלק מ- Akamai Technologies) לצורך הגנת DDoS. היא זו שהבינה כיצד להשתמש בחטיפת BGP כדי להגן מפני התקפות DDoS.

אם נפגע מתקפת DDoS יוצר קשר עם Prolexic לעזרה, האחרון מעביר לעצמו את כתובות ה-IP של הלקוח, מה שמאפשר לו לנתח ולסנן תעבורה נכנסת.

מכיוון ש-BackConnect סיפקה שירותי הגנה על DDoS, בוצע ניתוח כדי לקבוע אילו מהיירוטים של BGP יכולים להיחשב לגיטימיים באינטרסים של הלקוחות שלהם, ואילו נראו חשודים. זה לוקח בחשבון את משך לכידת הכתובות של אנשים אחרים, באיזו רחבה פורסמה הקידומת של האדם האחר כשלו, האם יש הסכם מאושר עם הלקוח וכו'. הטבלה מראה שחלק מהפעולות של BackConnect נראות חשודות מאוד.

ככל הנראה, חלק מהקורבנות הגישו תביעה נגד BackConnect. IN הווידוי של פרסטון (pdf) לא צוין שם החברה שבית המשפט הכיר כנפגעת. הקורבן מכונה במסמך בשם קורבן 1.

כפי שצוין לעיל, החקירה על הפעילות של BackConnect החלה לאחר פריצת שירות vDos. לאחר מכן נודעו שמות מנהלי שירות, כמו גם מסד הנתונים vDos, כולל המשתמשים הרשומים שלו ורשומות של לקוחות ששילמו vDos עבור ביצוע התקפות DDoS.

רשומות אלו הראו שאחד החשבונות באתר vDos נפתח לכתובות דואר אלקטרוני המשויכות לדומיין שהיה רשום על שם טאקר פרסטון. חשבון זה יזם התקפות נגד מספר רב של מטרות, כולל התקפות רבות על רשתות בבעלות קרן תוכנה חופשית (FSF).

בשנת 2016, מנהל מערכת לשעבר של FSF אמר שהמלכ"ר שקל בשלב מסוים שיתוף פעולה עם BackConnect, וההתקפות החלו כמעט מיד לאחר ש-FSF אמרה שהיא תחפש חברה אחרת שתספק הגנת DDoS.

על פי הצהרה משרד המשפטים האמריקני, בסעיף זה, טאקר פרסטון עומד בפני עד 10 שנות מאסר וקנס של עד 250 דולר, שהם פי שניים מהרווח או ההפסד הכולל מהפשע. פסק הדין יינתן ב-000 במאי 7.

GlobalSign מספקת פתרונות PKI ניתנים להרחבה עבור ארגונים בכל הגדלים.
פרטים נוספים: +7 (499) 678 2210, [מוגן בדוא"ל].

מקור: www.habr.com