Bis 2016 war vDos der weltweit beliebteste Dienst für die Bestellung von DDoS-AngriffenWenn Sie den Verschwörungstheorien glauben, verbreiten die Antiviren-Unternehmen die Viren selbst, und die Dienste zum Schutz vor DDoS-Angriffen leiten diese Angriffe selbst ein. Natürlich ist das Fiktion ... oder nicht?
Am 16. Januar 2020 verurteilte das Bundesbezirksgericht von New Jersey den 22-jährigen Tucker Preston, der in Macon, Georgia, lebt, wegen einer der Anklagen, nämlich "Beschädigung geschützter Computer durch Übertragung eines Programms, Codes oder Befehls". Tucker ist Mitbegründer von BackConnect Security LLC, das Schutz vor DDoS-Angriffen bot. Der junge Geschäftsmann konnte der Versuchung nicht widerstehen, sich an hartnäckigen Kunden zu rächen.
Die traurige Geschichte von Tucker Preston begann 2014, als ein Hacker-Teenager zusammen mit seinem Freund Marshal Webb BackConnect Security LLC gründete und BackConnect, Inc. sich davon löste. Im September 2016 stand dieses Unternehmen während des Vorgangs im
Rampenlicht , um den vDos-Dienst zu schließen, der zu diesem Zeitpunkt als der weltweit beliebteste Dienst für die Bestellung von DDoS-Angriffen galt. BackConnect griff sich dann angeblich selbst über vDos an - und führte einen ungewöhnlichen „Gegenangriff“ durch, bei dem 255 IP-Adressen des Gegners durch
BGP-Interception (BGP-Hijacking) erfasst wurden. Die Durchführung eines solchen Angriffs zur Verteidigung der eigenen Interessen hat zu widersprüchlichen Meinungen in der Informationssicherheitsgemeinschaft geführt. Viele hatten das Gefühl, dass BackConnect die Grenze überschritten hatte.
Das einfache Abfangen von Hintergrundmusik wird durchgeführt, indem Sie das Präfix eines anderen Benutzers als Ihr eigenes ankündigen. Uplinks / Peers akzeptieren es und es beginnt sich über das Web zu verbreiten. Zum Beispiel begann Rostelecom (AS12389) im Jahr 2017, angeblich aufgrund eines Softwarefehlers,
die Präfixe Mastercard (AS26380), Visa und einige andere Finanzorganisationen bekannt zu geben. BackConnect funktionierte ungefähr genauso, als es IP-Adressen vom bulgarischen Host Verdina.net enteignete.
Bryant Townsend, CEO von BackConnect,
entschuldigte sich später dafür, NANOG an Netzbetreiber gesendet zu haben. Er sagte, die Entscheidung, den Adressraum des Feindes anzugreifen, sei nicht einfach, aber sie seien bereit, für ihre Handlungen zu antworten: „Obwohl wir die Möglichkeit hatten, unsere Handlungen zu verbergen, hatten wir das Gefühl, dass dies falsch wäre. Ich habe viel Zeit damit verbracht, über diese Entscheidung nachzudenken und wie sie sich in den Augen einiger Menschen negativ auf das Unternehmen und mich auswirken könnte, aber letztendlich habe ich sie unterstützt. “
Wie sich herausstellte, ist BackConnect nicht das erste Mal, dass BGP abgefangen wird, aber das Unternehmen blickt im Allgemeinen auf eine dunkle Vergangenheit zurück. Es sollte jedoch beachtet werden, dass das Abfangen von BGP nicht immer für böswillige Zwecke verwendet wird. Brian Krebs
schreibt, dass er die Dienste von Prolexic Communications (jetzt Teil von Akamai Technologies) nutzt, um sich gegen DDoS zu schützen. Sie war es, die herausgefunden hat, wie BGP-Hijack zum Schutz vor DDoS-Angriffen eingesetzt werden kann.
Wenn ein Opfer eines DDoS-Angriffs Hilfe bei Prolexic anfordert, übersetzt letzteres die IP-Adressen des Kunden in sich selbst, wodurch der eingehende Datenverkehr analysiert und gefiltert werden kann.
Da BackConnect DDoS-Schutzdienste bereitstellte, wurde analysiert, welche der BGP-Intercepts im Interesse ihrer Kunden als legitim angesehen werden können und welche verdächtig aussehen. Dies berücksichtigt die Dauer der Erfassung der Adressen einer anderen Person, wie weit verbreitet die Vorwahl einer anderen Person als eigene Vorwahl angesagt ist, ob eine bestätigte Vereinbarung mit dem Kunden besteht usw. Die Tabelle zeigt, dass einige der BackConnect-Aktionen sehr verdächtig aussehen.
Anscheinend hat eines der Opfer BackConnect verklagt.
Die Geständniserklärung von Preston (pdf) enthält keinen
Hinweis auf den Namen des Unternehmens, das vom Gericht als Opfer anerkannt wurde. Das Opfer wird in dem Dokument als
Opfer 1 bezeichnet .
Wie bereits erwähnt, wurde eine Untersuchung zu BackConnect eingeleitet, nachdem der vDos-Dienst gehackt wurde. Dann wurden die
Namen der Dienstadministratoren sowie der vDos-Datenbank einschließlich der registrierten Benutzer und Aufzeichnungen der Kunden bekannt, die vDos für die Durchführung von DDoS-Angriffen bezahlt hatten.
Diese Aufzeichnungen zeigten, dass eines der Konten auf der vDos-Website für E-Mail-Adressen geöffnet ist, die mit einer Domain verknüpft sind, die im Namen von Tucker Preston registriert ist. Dieses Konto hat Angriffe auf eine große Anzahl von Zielen ausgelöst, darunter zahlreiche Netzwerkangriffe
der Free Software Foundation (FSF).
Im Jahr 2016 teilte der ehemalige FSF-Systemadministrator mit, dass eine gemeinnützige Organisation irgendwann über eine Zusammenarbeit mit BackConnect nachgedacht habe. Die Angriffe begannen fast sofort, nachdem die FSF angekündigt hatte, nach einem anderen Unternehmen zum Schutz vor DDoS zu suchen.
Laut einer
Aussage des US-Justizministeriums droht Tucker Preston eine Freiheitsstrafe von bis zu 10 Jahren und eine Geldstrafe von bis zu 250.000 US-Dollar, was den Gesamtgewinn oder -verlust aus der Straftat verdoppelt. Das Urteil wird am 7. Mai 2020 verkündet.
GlobalSign führt skalierbare PKI-Lösungen für Unternehmen jeder Größe ein.
Weitere Informationen: +7 (499) 678 2210, sales-ru@globalsign.com.