En 2016, les vDos sont devenus le service le plus populaire pour commander des attaques DDoS dans le mondeSelon les théories du complot, les sociétés d'antivirus propagent elles-mêmes des virus et les services de protection DDoS déclenchent eux-mêmes ces attaques. Bien sûr, c'est de la fiction ... ou pas?
Le 16 janvier 2020, le Tribunal fédéral de district du New Jersey a
condamné Tucker Preston, 22 ans, un résident de Macon, en Géorgie, pour l'une des accusations, à savoir: «dommages causés à des ordinateurs protégés par le transfert d'un programme, d'un code ou d'une commande». Tucker est un co-fondateur de BackConnect Security LLC, qui offrait une protection contre les attaques DDoS. Le jeune homme d'affaires n'a pas pu résister à la tentation de se venger de clients intraitables.
La triste histoire de Tucker Preston a commencé en 2014, lorsqu'un pirate-adolescent, avec son ami le maréchal Webb, a fondé BackConnect Security LLC, puis BackConnect, Inc. s'en est séparé. En septembre 2016, cette société a été mise à l'
honneur lors de l'opération de fermeture du service vDos, qui était à l'époque considéré comme le service le plus populaire au monde pour commander des attaques DDoS. BackConnect se serait alors attaqué par le biais de vDos - et aurait effectué une «contre-attaque» inhabituelle, capturant 255 adresses IP de l'ennemi par
interception BGP (piratage BGP). Mener une telle attaque pour défendre ses intérêts a généré des opinions contradictoires dans la communauté de la sécurité de l'information. Beaucoup estimaient que BackConnect avait franchi la ligne.
L'interception BGP simple est effectuée en annonçant le préfixe de quelqu'un d'autre comme le vôtre. Les liaisons montantes / pairs l'acceptent et il commence à se répandre sur le Web. Par exemple, en 2017, prétendument à la suite d'une défaillance logicielle, Rostelecom (AS12389) a
commencé à annoncer les préfixes Mastercard (AS26380), Visa et certaines autres organisations financières. BackConnect a fonctionné à peu près de la même manière lorsqu'il a exproprié les adresses IP de l'hôte bulgare Verdina.net.
Le PDG de BackConnect, Bryant Townsend, a par la suite trouvé des
excuses pour envoyer NANOG aux opérateurs de réseau. Il a déclaré que la décision d'attaquer l'espace d'adressage de l'ennemi n'était pas facile, mais ils étaient prêts à répondre de leurs actions: «Bien que nous ayons eu l'occasion de cacher nos actions, nous avons estimé que ce serait une erreur. J'ai passé beaucoup de temps à réfléchir à cette décision et à la façon dont elle pourrait affecter négativement l'entreprise et moi aux yeux de certaines personnes, mais au final je l'ai appuyée. »
Il s'est avéré que BackConnect n'est pas la première fois à utiliser l'interception BGP, mais la société a généralement une histoire sombre. Bien qu'il convient de noter que l'interception BGP n'est pas toujours utilisée à des fins malveillantes. Brian Krebs
écrit qu'il utilise les services de Prolexic Communications (qui fait maintenant partie d'Akamai Technologies) pour se protéger contre les DDoS. C'est elle qui a trouvé comment utiliser le détournement BGP pour se protéger contre les attaques DDoS.
Si une victime d'une attaque DDoS sollicite l'aide de Prolexic, ce dernier traduit sur lui-même les adresses IP du client, ce qui lui permet d'analyser et de filtrer le trafic entrant.
Étant donné que BackConnect a fourni des services de protection contre les attaques DDoS, une analyse a été effectuée pour savoir quelles interceptions BGP peuvent être considérées comme légitimes dans l'intérêt de leurs clients et lesquelles semblent suspectes. Cela tient compte de la durée de la capture des adresses de quelqu'un d'autre, de l'ampleur de l'annonce du préfixe de quelqu'un d'autre, de la confirmation d'un accord avec le client, etc. Le tableau montre que certaines des actions BackConnect semblent très suspectes.
Apparemment, l'une des victimes a poursuivi BackConnect.
La déclaration de confession de Preston (pdf) n'indique pas le nom de l'entreprise, que le tribunal a reconnu comme victime. La victime est appelée
victime 1 dans le document.
Comme mentionné ci-dessus, une enquête sur BackConnect a commencé après le piratage du service vDos. Ensuite, les
noms des administrateurs de services, ainsi que la base de données vDos, y compris ses utilisateurs enregistrés et les enregistrements des clients qui ont payé des vDos pour mener des attaques DDoS, sont
devenus connus .
Ces enregistrements ont montré que l'un des comptes du site Web vDos est ouvert aux adresses électroniques associées à un domaine enregistré au nom de Tucker Preston. Ce compte a lancé des attaques contre un grand nombre de cibles, y compris de nombreuses attaques de réseau appartenant
à la Free Software Foundation (FSF).
En 2016, l'ancien administrateur système de la FSF a déclaré qu'une organisation à but non lucratif envisageait à un moment donné de travailler avec BackConnect, et les attaques ont commencé presque immédiatement après que la FSF a déclaré qu'elle chercherait une autre entreprise pour se protéger contre les DDoS.
Selon une
déclaration du département américain de la Justice, Tucker Preston encourt une peine d'emprisonnement pouvant aller jusqu'à 10 ans et une amende pouvant atteindre 250 000 $, ce qui double le profit ou la perte totale du crime. Le verdict sera prononcé le 7 mai 2020.
GlobalSign présente des solutions PKI évolutives pour les organisations de toutes tailles.
Plus de détails: +7 (499) 678 2210, sales-ru@globalsign.com.