Em 2016, o vDos se tornou o serviço mais popular do mundo para ordenar ataques DDoS
Se você acredita em teorias da conspiração, então as próprias empresas de antivírus distribuem vírus e os próprios serviços de proteção contra ataques DDoS iniciam esses ataques. Claro, isso é ficção... ou não?
16 de janeiro de 2020 Tribunal Distrital Federal de Nova Jersey Tucker Preston, 22 anos, de Macon, Geórgia, acusado de danificar computadores protegidos ao transmitir um programa, código ou comando. Tucker é cofundador da BackConnect Security LLC, que oferece proteção contra ataques DDoS. O jovem empresário não resistiu à tentação de se vingar de seus clientes intratáveis.
A triste história de Tucker Preston começou em 2014, quando um hacker adolescente, junto com seu amigo Marshal Webb, fundou a empresa BackConnect Security LLC, que foi então desmembrada da BackConnect, Inc. Em setembro de 2016, esta empresa durante a operação de encerramento do serviço vDos, que na época era considerado o serviço mais popular do mundo para ordenar ataques DDoS. A empresa BackConnect supostamente foi atacada via vDos - e realizou um “contra-ataque” incomum, capturando 255 endereços IP inimigos por (sequestro de BGP). A realização de tal ataque para proteger os interesses de alguém causou polêmica na comunidade de segurança da informação. Muitos acharam que o BackConnect havia exagerado.
Uma simples interceptação BGP é realizada anunciando o prefixo de outra pessoa como seu. Uplinks/peers aceitam-no e ele começa a se espalhar pela Internet. Por exemplo, em 2017, supostamente como resultado de uma falha de software, a Rostelecom (AS12389) Mastercard (AS26380), Visa e algumas outras instituições financeiras. O BackConnect funcionou da mesma maneira quando expropriou endereços IP do hoster búlgaro Verdina.net.
CEO da BackConnect, Bryant Townsend no boletim informativo NANOG para operadoras de rede. Ele disse que a decisão de atacar o espaço de endereço do inimigo não foi tomada de ânimo leve, mas eles estão prontos para responder pelas suas ações: “Embora tivéssemos a oportunidade de esconder as nossas ações, sentimos que seria errado. Passei muito tempo pensando sobre essa decisão e como ela poderia refletir negativamente sobre mim e a empresa aos olhos de algumas pessoas, mas no final das contas eu a apoiei.”
Acontece que esta não é a primeira vez que o BackConnect usa a interceptação BGP, e a empresa geralmente tem uma história sombria. Embora deva ser observado que a interceptação BGP nem sempre é usada para fins maliciosos. Brian Krebs que ele próprio usa os serviços da Prolexic Communications (agora parte da Akamai Technologies) para proteção DDoS. Foi ela quem descobriu como usar o sequestro de BGP para se proteger contra ataques DDoS.
Se uma vítima de ataque DDoS entrar em contato com a Prolexic para obter ajuda, esta transfere os endereços IP do cliente para si mesma, o que lhe permite analisar e filtrar o tráfego de entrada.
Como o BackConnect fornecia serviços de proteção DDoS, foi realizada uma análise para determinar quais das interceptações BGP poderiam ser consideradas legítimas no interesse de seus clientes e quais pareciam suspeitas. Isso leva em consideração a duração da captura dos endereços de outras pessoas, quão amplamente o prefixo da outra pessoa foi anunciado como sendo seu, se há um acordo confirmado com o cliente, etc. A tabela mostra que algumas das ações do BackConnect parecem muito suspeitas.
Aparentemente, algumas das vítimas entraram com uma ação judicial contra o BackConnect. EM Não foi indicado o nome da empresa que o tribunal reconheceu como vítima. A vítima é referida no documento como Vítima 1.
Conforme mencionado acima, a investigação das atividades do BackConnect começou depois que o serviço vDos foi hackeado. Então administradores de serviços, bem como o banco de dados vDos, incluindo seus usuários registrados e registros de clientes que pagaram vDos para realizar ataques DDoS.
Esses registros mostraram que uma das contas do site vDos foi aberta para endereços de e-mail associados a um domínio registrado em nome de Tucker Preston. Esta conta iniciou ataques contra um grande número de alvos, incluindo numerosos ataques a redes pertencentes a (FSF).
Em 2016, um ex-administrador de sistemas da FSF disse que a organização sem fins lucrativos havia considerado uma parceria com a BackConnect, e os ataques começaram quase imediatamente depois que a FSF disse que procuraria outra empresa para fornecer proteção contra DDoS.
Conforme Departamento de Justiça dos EUA, nesta acusação, Tucker Preston pode pegar até 10 anos de prisão e uma multa de até US$ 250, o que é o dobro do ganho ou perda total do crime. O veredicto será pronunciado em 000 de maio de 7.
A GlobalSign fornece soluções de PKI escaláveis para organizações de todos os tamanhos.
Mais detalhes: +7 (499) 678 2210, [email protegido].
Fonte: habr.com