Līdz 2016. gadam vDos kļuva par pasaulē populārāko pakalpojumu DDoS uzbrukumu pasūtīšanai
Ja ticat sazvērestības teorijām, tad pretvīrusu kompānijas pašas izplata vīrusus, un paši DDoS uzbrukumu aizsardzības dienesti iniciē šos uzbrukumus. Protams, tā ir fikcija... vai nē?
16. gada 2020. janvāris Ņūdžersijas federālā apgabala tiesa Takers Prestons, 22 gadus vecs, no Makonas, Džordžijas štatā, par vienu gadījumu, kad bojāti aizsargāti datori, pārsūtot programmu, kodu vai komandu. Takers ir BackConnect Security LLC līdzdibinātājs, kas piedāvāja aizsardzību pret DDoS uzbrukumiem. Jaunais uzņēmējs nespēja pretoties kārdinājumam atriebties saviem neatrisināmajiem klientiem.
Skumjš stāsts par Takeru Prestonu aizsākās 2014. gadā, kad pusaugu hakeris kopā ar savu draugu Maršalu Vebu nodibināja uzņēmumu BackConnect Security LLC, kas pēc tam tika atdalīts no BackConnect, Inc. 2016. gada septembrī šis uzņēmums vDos servisa slēgšanas operācijas laikā, kas tolaik tika uzskatīts par pasaulē populārāko pakalpojumu DDoS uzbrukumu pasūtīšanai. Pēc tam uzņēmums BackConnect tika uzbrukts, izmantojot vDos, un veica neparastu “pretuzbrukumu”, notverot 255 ienaidnieka IP adreses. (BGP nolaupīšana). Šāda uzbrukuma veikšana savu interešu aizstāvībai izraisījusi domstarpības informācijas drošības sabiedrībā. Daudzi uzskatīja, ka BackConnect ir pārspīlējis.
Vienkārša BGP pārtveršana tiek veikta, paziņojot kāda cita prefiksu kā savu. Augšupsaites/vienabiedri to pieņem, un tas sāk izplatīties pa internetu. Piemēram, 2017. gadā, iespējams, programmatūras kļūmes rezultātā, Rostelecom (AS12389) Mastercard (AS26380), Visa un dažas citas finanšu iestādes. BackConnect darbojās aptuveni tādā pašā veidā, kad tā atsavināja IP adreses no Bulgārijas mitinātāja Verdina.net.
BackConnect izpilddirektors Braients Taunsends NANOG informatīvajā izdevumā tīkla operatoriem. Viņš sacīja, ka lēmums uzbrukt ienaidnieka adrešu telpai nav pieņemts vieglprātīgi, taču viņi ir gatavi atbildēt par savu rīcību: «Lai gan mums bija iespēja slēpt savu rīcību, mēs jutām, ka tas būtu nepareizi. Es pavadīju daudz laika, domājot par šo lēmumu un to, kā tas dažu cilvēku acīs varētu negatīvi ietekmēt uzņēmumu un mani, taču galu galā es to atbalstīju.
Kā izrādījās, šī nav pirmā reize, kad BackConnect izmanto BGP pārtveršanu, un uzņēmumam parasti ir tumša vēsture. Lai gan jāatzīmē, ka BGP pārtveršana ne vienmēr tiek izmantota ļaunprātīgiem nolūkiem. Braiens Krebs ka viņš pats DDoS aizsardzībai izmanto Prolexic Communications (tagad daļa no Akamai Technologies) pakalpojumus. Tā bija viņa, kas izdomāja, kā izmantot BGP nolaupīšanu, lai aizsargātu pret DDoS uzbrukumiem.
Ja DDoS uzbrukuma upuris sazinās ar Prolexic, lai saņemtu palīdzību, tas pārsūta klienta IP adreses sev, kas ļauj analizēt un filtrēt ienākošo trafiku.
Tā kā BackConnect sniedza DDoS aizsardzības pakalpojumus, tika veikta analīze, lai noteiktu, kuri no BGP pārtveršanas gadījumiem varētu tikt uzskatīti par likumīgiem viņu klientu interesēs un kuri izskatījās aizdomīgi. Tas ņem vērā citu personu adrešu tveršanas ilgumu, to, cik plaši citas personas prefikss tika reklamēts kā savējais, vai ir apstiprināta vienošanās ar klientu utt. Tabulā redzams, ka dažas BackConnect darbības izskatās ļoti aizdomīgas.
Acīmredzot daži no cietušajiem iesniedza prasību pret BackConnect. IN Uzņēmuma nosaukums, kuru tiesa atzina par cietušo, netika norādīts. Cietušais dokumentā minēts kā Upuris 1.
Kā minēts iepriekš, BackConnect darbību izmeklēšana sākās pēc vDos pakalpojuma uzlaušanas. Tad pakalpojumu administratori, kā arī vDos datu bāze, tostarp tās reģistrētie lietotāji un to klientu ieraksti, kuri maksāja vDos par DDoS uzbrukumu veikšanu.
Šie ieraksti parādīja, ka viens no kontiem vDos vietnē tika atvērts e-pasta adresēm, kas saistītas ar domēnu, kas reģistrēts uz Takera Prestona vārda. Šis konts uzsāka uzbrukumus daudziem mērķiem, tostarp daudziem uzbrukumiem piederošajiem tīkliem (FSF).
2016. gadā bijušais FSF sistēmas administrators sacīja, ka bezpeļņas organizācija kādā brīdī bija apsvērusi iespēju sadarboties ar BackConnect, un uzbrukumi sākās gandrīz uzreiz pēc tam, kad FSF paziņoja, ka meklēs citu uzņēmumu, kas nodrošinātu DDoS aizsardzību.
Saskaņā ar ASV Tieslietu departaments šajā sakarā Takeram Prestonam draud cietumsods līdz 10 gadiem un naudas sods līdz USD 250 000, kas ir divreiz lielāks par kopējo nozieguma ieguvumu vai zaudējumu. Spriedums tiks pasludināts 7. gada 2020. maijā.
GlobalSign nodrošina mērogojamus PKI risinājumus visu izmēru organizācijām.
Sīkāka informācija: +7 (499) 678 2210, [e-pasts aizsargāts].
Avots: www.habr.com