In 2016 werd vDos de populairste dienst ter wereld voor het bestellen van DDoS-aanvallen
Als je complottheorieën gelooft, verspreiden antivirusbedrijven zelf virussen en initiëren diensten voor DDoS-aanvalbescherming zelf deze aanvallen. Natuurlijk is dit fictie... of niet?
16 januari 2020 Federale districtsrechtbank van New Jersey Tucker Preston, 22, uit Macon, Georgia, over het beschadigen van beschermde computers door het verzenden van een programma, code of commando. Tucker is medeoprichter van BackConnect Security LLC, dat bescherming bood tegen DDoS-aanvallen. De jonge zakenman kon de verleiding niet weerstaan om wraak te nemen op zijn hardnekkige klanten.
Het trieste verhaal van Tucker Preston begon in 2014, toen de tienerhacker samen met zijn vriend Marshal Webb het bedrijf BackConnect Security LLC oprichtte, dat vervolgens werd afgesplitst van BackConnect, Inc. In september 2016 heeft dit bedrijf tijdens de operatie om de vDos-dienst te sluiten, die destijds werd beschouwd als de meest populaire dienst ter wereld voor het bestellen van DDoS-aanvallen. Het BackConnect-bedrijf werd vervolgens naar verluidt zelf aangevallen via vDos – en voerde een ongebruikelijke “tegenaanval” uit, waarbij 255 vijandelijke IP-adressen werden veroverd door (BGP-kaping). Het uitvoeren van een dergelijke aanval om iemands belangen te beschermen heeft voor controverse gezorgd in de informatiebeveiligingsgemeenschap. Velen waren van mening dat BackConnect overboord was gegaan.
Een eenvoudige BGP-onderschepping wordt uitgevoerd door het voorvoegsel van iemand anders als uw eigen voorvoegsel aan te kondigen. Uplinks/peers accepteren het en het begint zich over het internet te verspreiden. In 2017 bijvoorbeeld, naar verluidt als gevolg van een softwarefout, heeft Rostelecom (AS12389) Mastercard (AS26380), Visa en enkele andere financiële instellingen. BackConnect werkte op vrijwel dezelfde manier toen het IP-adressen onteigende van de Bulgaarse host Verdina.net.
BackConnect-CEO Bryant Townsend in de NANOG-nieuwsbrief voor netwerkexploitanten. Hij zei dat de beslissing om de adresruimte van de vijand aan te vallen niet lichtvaardig werd genomen, maar dat ze bereid zijn verantwoording af te leggen voor hun acties: “Hoewel we de mogelijkheid hadden om onze acties te verbergen, voelden we dat het verkeerd zou zijn. Ik heb veel tijd besteed aan het nadenken over deze beslissing en hoe deze in de ogen van sommige mensen een negatief effect zou kunnen hebben op het bedrijf en mij, maar uiteindelijk heb ik het gesteund."
Het bleek dat dit niet de eerste keer is dat BackConnect BGP-onderschepping gebruikt, en het bedrijf heeft over het algemeen een donkere geschiedenis. Hoewel opgemerkt moet worden dat BGP-onderschepping niet altijd voor kwaadaardige doeleinden wordt gebruikt. Brian Krebs dat hij zelf gebruik maakt van de diensten van Prolexic Communications (nu onderdeel van Akamai Technologies) voor DDoS-bescherming. Zij was het die erachter kwam hoe je BGP-kaping kunt gebruiken om je te beschermen tegen DDoS-aanvallen.
Als een slachtoffer van een DDoS-aanval contact opneemt met Prolexic voor hulp, draagt deze laatste de IP-adressen van de klant naar zichzelf over, waardoor het inkomend verkeer kan worden geanalyseerd en gefilterd.
Omdat BackConnect DDoS-beschermingsdiensten leverde, werd een analyse uitgevoerd om te bepalen welke van de BGP-onderscheppingen als legitiem konden worden beschouwd in het belang van hun klanten, en welke er verdacht uitzagen. Hierbij wordt rekening gehouden met de duur van het vastleggen van de adressen van anderen, hoe breed het voorvoegsel van de andere persoon als zijn eigen voorvoegsel werd geadverteerd, of er een bevestigde overeenkomst met de klant is, enz. Uit de tabel blijkt dat sommige acties van BackConnect er erg verdacht uitzien.
Blijkbaar hebben enkele slachtoffers een rechtszaak aangespannen tegen BackConnect. IN De naam van het bedrijf dat de rechtbank als slachtoffer herkende, werd niet vermeld. Het slachtoffer wordt in het document genoemd als Slachtoffer 1.
Zoals hierboven vermeld, begon het onderzoek naar de activiteiten van BackConnect nadat de vDos-dienst was gehackt. Dan servicebeheerders, evenals de vDos-database, inclusief de geregistreerde gebruikers en gegevens van klanten die vDos hebben betaald voor het uitvoeren van DDoS-aanvallen.
Uit deze gegevens bleek dat een van de accounts op de vDos-website was geopend voor e-mailadressen die waren gekoppeld aan een domein dat was geregistreerd op naam van Tucker Preston. Dit account initieerde aanvallen op een groot aantal doelen, waaronder talloze aanvallen op netwerken die eigendom waren van (FSF).
In 2016 zei een voormalige FSF-systeembeheerder dat de non-profitorganisatie op een gegeven moment had overwogen om samen te werken met BackConnect, en dat de aanvallen vrijwel onmiddellijk begonnen nadat FSF had gezegd dat het op zoek zou gaan naar een ander bedrijf om DDoS-bescherming te bieden.
Volgens Het Amerikaanse ministerie van Justitie riskeert op grond van deze aanklacht een gevangenisstraf van maximaal tien jaar en een boete van maximaal $10, wat tweemaal de totale winst of het totale verlies uit de misdaad is. Het vonnis wordt uitgesproken op 250 mei 000.
GlobalSign biedt schaalbare PKI-oplossingen voor organisaties van elke omvang.
Meer details: +7 (499) 678 2210, [e-mail beveiligd].
Bron: www.habr.com