Para 2016, vDos se convirtió en el servicio más popular para ordenar ataques DDoS en el mundoSi crees en las teorías de la conspiración, las propias compañías de antivirus propagan los virus y los servicios de protección contra los ataques DDoS inician estos ataques. Por supuesto, esto es ficción ... ¿o no?
El 16 de enero de 2020, el Tribunal de Distrito Federal de Nueva Jersey
condenó a Tucker Preston, de 22 años, residente de Macon, Georgia, por uno de los cargos, a saber, "daños a computadoras protegidas al transferir un programa, código o comando". Tucker es cofundador de BackConnect Security LLC, que ofrece protección contra ataques DDoS. El joven empresario no pudo resistir la tentación de vengarse de los clientes intratables.
La triste historia de Tucker Preston comenzó en 2014, cuando un hacker adolescente, junto con su amigo Marshal Webb, fundó BackConnect Security LLC, luego BackConnect, Inc. se separó de ella. En septiembre de 2016, esta compañía fue
destacada durante la operación para cerrar el servicio vDos, que en ese momento se consideraba el servicio más popular del mundo para ordenar ataques DDoS. BackConnect supuestamente fue atacado a través de vDos y realizó un "contraataque" inusual, capturando 255 direcciones IP del enemigo a través de la
intercepción de BGP (secuestro de BGP). Llevar a cabo tal ataque para defender los intereses de uno ha generado opiniones contradictorias en la comunidad de seguridad de la información. Muchos sintieron que BackConnect había cruzado la línea.
La intercepción de BGP simple se realiza anunciando el prefijo de otra persona como propio. Los enlaces ascendentes / pares lo aceptan, y comienza a extenderse por la Web. Por ejemplo, en 2017, supuestamente como resultado de una falla de software, Rostelecom (AS12389)
comenzó a anunciar los prefijos Mastercard (AS26380), Visa y algunas otras organizaciones financieras. BackConnect funcionó aproximadamente de la misma manera cuando expropió direcciones IP del host búlgaro Verdina.net.
El CEO de BackConnect, Bryant Townsend, más tarde presentó
excusas para enviar NANOG a los operadores de red. Dijo que la decisión de atacar el espacio de direcciones del enemigo no fue fácil, pero que estaban listos para responder por sus acciones: “Aunque tuvimos la oportunidad de ocultar nuestras acciones, sentimos que estaría mal. Pasé mucho tiempo pensando en esta decisión y en cómo podría afectarnos negativamente a la empresa y a mí a los ojos de algunas personas, pero al final la apoyé ”.
Al final resultó que, BackConnect no es la primera vez que utiliza la intercepción de BGP, pero la compañía generalmente tiene una historia oscura. Aunque debe tenerse en cuenta que la intercepción de BGP no siempre se utiliza con fines maliciosos. Brian Krebs
escribe que usa los servicios de Prolexic Communications (ahora parte de Akamai Technologies) para protegerse contra DDoS. Fue a ella a quien se le ocurrió cómo usar el secuestro de BGP para protegerse contra los ataques DDoS.
Si una víctima de un ataque DDoS busca ayuda de Prolexic, este último traduce las direcciones IP del cliente en sí mismo, lo que le permite analizar y filtrar el tráfico entrante.
Como BackConnect proporcionó servicios de protección DDoS, se realizó un análisis sobre cuáles de las interceptaciones BGP pueden considerarse legítimas en interés de sus clientes y cuáles parecen sospechosas. Esto tiene en cuenta la duración de la captura de las direcciones de otra persona, qué tan ampliamente anunciado es el prefijo de otra persona como propio, si hay un acuerdo confirmado con el cliente, etc. La tabla muestra que algunas de las acciones de BackConnect parecen muy sospechosas.
Aparentemente, una de las víctimas demandó a BackConnect.
La declaración de confesión de Preston (pdf) no indica el nombre de la empresa, que el tribunal reconoció como la víctima. La víctima se conoce como
Víctima 1 en el documento.
Como se mencionó anteriormente, una investigación sobre BackConnect comenzó después de hackear el servicio vDos. Luego, se
dieron a conocer los
nombres de los administradores de servicios, así como la base de datos vDos, incluidos sus usuarios registrados y los registros de clientes que pagaron vDos por realizar ataques DDoS.
Estos registros mostraron que una de las cuentas en el sitio web de vDos está abierta a direcciones de correo electrónico asociadas con un dominio que está registrado a nombre de Tucker Preston. Esta cuenta inició ataques a una gran cantidad de objetivos, incluidos numerosos ataques de red pertenecientes
a la Free Software Foundation (FSF).
En 2016, un ex administrador de sistemas de la FSF dijo que una organización sin fines de lucro en algún momento estaba considerando trabajar con BackConnect, y los ataques comenzaron casi inmediatamente después de que la FSF dijera que buscaría otra compañía para protegerse contra DDoS.
Según una
declaración del Departamento de Justicia de EE. UU., Tucker Preston enfrenta una pena de prisión de hasta 10 años y una multa de hasta $ 250,000 por este artículo, lo que duplica la ganancia o pérdida total del delito. El veredicto se pronunciará el 7 de mayo de 2020.
GlobalSign presenta soluciones PKI escalables para organizaciones de cualquier tamaño.
Más detalles: +7 (499) 678 2210, sales-ru@globalsign.com.