До 2016 року vDos став найпопулярнішим у світі сервісом для замовлення DDoS-атак
Якщо вірити теоріям змови, антивірусні компанії самі поширюють віруси, а сервіси захисту від DDoS-атак самі ініціюють ці атаки. Звичайно, це вигадки... чи ні?
16 січня 2020 року Федеральний окружний суд Нью-Джерсі 22-річного Такера Престона (Tucker Preston), жителя міста Мейкона, штат Джорджія, по одному з пунктів звинувачення, а саме «ушкодження захищених комп'ютерів шляхом передачі програми, коду чи команди». Такер є співзасновником компанії BackConnect Security LLC, яка пропонувала захист від DDoS-атак. Юний бізнесмен не зміг утриматися від спокуси помститися незговірливим клієнтам.
Сумна історія Такера Престона розпочалася у 2014 році, коли хакер-тінейджер разом зі своїм другом Маршалом Веббом (Marshal Webb) заснував компанію BackConnect Security LLC, від неї потім відкололася BackConnect, Inc. У вересні 2016 року ця фірма під час операції із закриття сервісу vDos, який на той час вважався найпопулярнішим у світі сервісом для замовлення DDoS-атак. Компанія BackConnect тоді нібито сама зазнала атаки через vDos — і провела незвичайну «контратаку», захопивши 255 IP-адрес ворога шляхом (BGP hijacking). Проведення такої атаки для захисту своїх інтересів викликало суперечливі думки у спільноті інформаційної безпеки. Багато хто вважав, що BackConnect перейшла межу дозволеного.
Простий BGP-перехоплення здійснюється шляхом анонсу чужого префікса як свого. Аплинки/бенкети його приймають, і він починає поширюватися по Мережі. Наприклад, у 2017 році нібито в результаті збою програмного забезпечення «Ростелеком» (AS12389) Mastercard (AS26380), Visa та деяких інших фінансових організацій. Приблизно так само спрацювала компанія BackConnect, коли експропріювала IP-адреси у болгарського хостера Verdina.net.
Виконавчий директор BackConnect Брайан Таунсенд (Bryant Townsend) потім у розсилці NANOG для мережевих операторів. Він казав, що рішення атакувати адресний простір ворога далося нелегко, але вони готові відповідати за свій вчинок: «Хоча ми мали можливість приховати свої дії, ми відчували, що це було б неправильно. Я витратив багато часу, розмірковуючи про це рішення і про те, як воно може негативно позначитися на компанії і мені в очах деяких людей, але зрештою я його підтримав».
Як з'ясувалося, BackConnect не вперше застосовує BGP-перехоплення, а в компанії взагалі темна історія. Хоча слід зазначити, що BGP-перехоплення не завжди використовується в зловмисних цілях. Брайан Кребс , Що він сам для захисту від DDoS користується послугами компанії Prolexic Communications (тепер частина Akamai Technologies). Саме вона вигадала, як використовувати BGP hijack для захисту від DDoS-атак.
Якщо жертва DDoS-атаки звертається за допомогою до Prolexic, остання переводить IP-адреси клієнта на себе, що дозволяє їй аналізувати та фільтрувати вхідний трафік.
Оскільки BackConnect надавала послуги захисту від DDoS, провели аналіз, які з BGP-перехоплень можна вважати легітимними на користь своїх клієнтів, а які виглядають підозріло. При цьому враховується тривалість захоплення чужих адрес, наскільки широко анонсувався чужий префікс як свій, чи є підтверджена домовленість з клієнтом і т. д. З таблиці видно, що деякі дії BackConnect виглядають дуже підозріло.
Зважаючи на все, хтось із постраждалих подали до суду на BackConnect. У не вказано назву компанії, яку суд визнав потерпілою. Жертва у документі називається як Жертва 1.
Як згадувалося вище, розслідування діяльності BackConnect розпочалося після злому сервісу vDos. Тоді адміністраторів сервісу, а також база даних vDos, включаючи її зареєстрованих користувачів та записи про клієнтів, які платили vDos за проведення DDoS-атак.
Ці записи показали, що один з облікових записів на сайті vDos відкритий на адреси електронної пошти, прив'язані до домену, зареєстрованого на ім'я Такера Престона. Цей обліковий запис ініціював атаки на велику кількість цілей, включаючи численні атаки на мережі, що належать (ФСФ).
У 2016 році колишній сисадмін FSF говорив, що некомерційна організація в певний момент розглядала можливість співпраці з BackConnect, і атаки почалися майже відразу після того, як FSF сказала, що шукатиме іншу фірму для захисту від DDoS.
Згідно з Міністерству юстиції США, за цим пунктом звинувачення Такеру Престону загрожує позбавлення волі на строк до 10 років та штрафом у розмірі до $250 000, що вдвічі перевищує загальний прибуток чи збитки від злочину. Вирок буде ухвалено 7 травня 2020 року.
GlobalSign представляє масштабовані PKI-рішення для організацій будь-якого розміру.
Докладніше: +7 (499) 678 2210, [захищено електронною поштою].
Джерело: habr.com