Do 2016 roku vDos stał się najpopularniejszą na świecie usługą zlecania ataków DDoS
Jeśli wierzyć teoriom spiskowym, to firmy antywirusowe same dystrybuują wirusy, a usługi ochrony przed atakami DDoS same inicjują te ataki. Oczywiście to fikcja... czy nie?
16 stycznia 2020 r. Federalny Sąd Rejonowy stanu New Jersey Tucker Preston, 22 lata, z Macon w stanie Georgia, pod jednym z zarzutów uszkodzenia chronionych komputerów poprzez przesłanie programu, kodu lub polecenia. Tucker jest współzałożycielem firmy BackConnect Security LLC, która oferowała ochronę przed atakami DDoS. Młody biznesmen nie mógł oprzeć się pokusie zemsty na swoich nieustępliwych klientach.
Smutna historia Tuckera Prestona rozpoczęła się w 2014 roku, kiedy nastoletni haker wraz ze swoim przyjacielem Marshalem Webbem założył firmę BackConnect Security LLC, która następnie została wydzielona z BackConnect, Inc. We wrześniu 2016 roku firma ta podczas operacji zamknięcia usługi vDos, która w tamtym czasie była uważana za najpopularniejszą na świecie usługę zlecania ataków DDoS. Następnie firma BackConnect rzekomo sama została zaatakowana za pośrednictwem vDos i przeprowadziła nietypowy „kontratak”, przejmując 255 adresów IP wroga (przejęcie BGP). Przeprowadzenie takiego ataku w celu ochrony własnych interesów wywołało kontrowersje w środowisku zajmującym się bezpieczeństwem informacji. Wielu uważało, że BackConnect przesadził.
Proste przechwycenie protokołu BGP polega na podaniu cudzego prefiksu jako własnego. Łącza wysyłające/równorzędne akceptują to i zaczyna się rozprzestrzeniać w Internecie. Na przykład w 2017 r., rzekomo w wyniku awarii oprogramowania, Rostelecom (AS12389) Mastercard (AS26380), Visa i niektóre inne instytucje finansowe. BackConnect działał w podobny sposób, wywłaszczając adresy IP od bułgarskiego dostawcy usług hostingowych Verdina.net.
Dyrektor generalny BackConnect Bryant Townsend w biuletynie NANOG dla operatorów sieci. Powiedział, że decyzja o ataku na przestrzeń adresową wroga nie została podjęta lekko, ale on jest gotowy odpowiedzieć za swoje czyny: „Mimo że mieliśmy okazję ukryć nasze działania, czuliśmy, że będzie to niewłaściwe. Spędziłem dużo czasu, myśląc o tej decyzji i o tym, jak może ona negatywnie wpłynąć na firmę i mnie w oczach niektórych osób, ale ostatecznie ją poparłem.
Jak się okazało, nie jest to pierwszy raz, kiedy BackConnect wykorzystuje przechwytywanie protokołu BGP, a firma ma ogólnie mroczną historię. Chociaż należy zauważyć, że przechwytywanie protokołu BGP nie zawsze jest wykorzystywane do złośliwych celów. Briana Krebsa że on sam korzysta z usług firmy Prolexic Communications (obecnie część Akamai Technologies) w celu ochrony przed atakami DDoS. To ona wymyśliła, jak wykorzystać przejęcie BGP do ochrony przed atakami DDoS.
Jeśli ofiara ataku DDoS zwróci się o pomoc do Prolexic, ten przekazuje sobie adresy IP klienta, co pozwala mu analizować i filtrować ruch przychodzący.
Ponieważ BackConnect świadczył usługi ochrony DDoS, przeprowadzono analizę w celu ustalenia, które z przechwyceń protokołu BGP można uznać za uzasadnione w interesie ich klientów, a które wyglądały podejrzanie. Uwzględnia to czas przechwytywania adresów innych osób, jak szeroko prefiks drugiej osoby był reklamowany jako własny, czy istnieje potwierdzona umowa z klientem itp. Z tabeli wynika, że niektóre działania BackConnect wyglądają bardzo podejrzanie.
Najwyraźniej część ofiar złożyła pozew przeciwko BackConnect. W Nie podano nazwy firmy, którą sąd uznał za pokrzywdzoną. Ofiara jest określana w dokumencie jako Ofiara 1.
Jak wspomniano powyżej, dochodzenie w sprawie działalności BackConnect rozpoczęło się po włamaniu do usługi vDos. Następnie administratorów usług, a także bazę vDos zawierającą jej zarejestrowanych użytkowników oraz ewidencję klientów, którzy zapłacili vDos za przeprowadzanie ataków DDoS.
Z zapisów tych wynikało, że jedno z kont w witrynie vDos było otwarte na adresy e-mail powiązane z domeną zarejestrowaną na nazwisko Tucker Preston. To konto zainicjowało ataki na dużą liczbę celów, w tym liczne ataki na sieci należące do (FSF).
W 2016 roku były administrator systemu FSF powiedział, że ta organizacja non-profit w pewnym momencie rozważała współpracę z BackConnect, a ataki rozpoczęły się niemal natychmiast po tym, jak FSF oznajmiło, że będzie szukać innej firmy, która zapewni ochronę przed atakami DDoS.
Według Departament Sprawiedliwości Stanów Zjednoczonych w tej sprawie Tuckerowi Prestonowi grozi do 10 lat więzienia i grzywna w wysokości do 250 000 dolarów, co stanowi dwukrotność całkowitego zysku lub straty wynikającej z przestępstwa. Wyrok zostanie ogłoszony 7 maja 2020 r.
GlobalSign zapewnia skalowalne rozwiązania PKI dla organizacji każdej wielkości.
Więcej szczegółów: +7 (499) 678 2210, [email chroniony].
Źródło: www.habr.com