Em 2016, o vDos se tornou o serviço mais popular para encomendar ataques DDoS no mundoSegundo as teorias da conspiração, as próprias empresas de antivírus espalham vírus e os próprios serviços de proteção contra DDoS iniciam esses ataques. Claro, isso é ficção ... ou não?
Em 16 de janeiro de 2020, o Tribunal do Distrito Federal de Nova Jersey
condenou Tucker Preston, 22 anos, morador de Macon, na Geórgia, por uma das acusações, a saber, "danos a computadores protegidos através da transferência de um programa, código ou comando". Tucker é co-fundador da BackConnect Security LLC, que ofereceu proteção contra ataques DDoS. O jovem empresário não resistiu à tentação de se vingar de clientes intratáveis.
A triste história de Tucker Preston começou em 2014, quando um adolescente hacker, junto com seu amigo Marshal Webb, fundou a BackConnect Security LLC, depois a BackConnect, Inc. se separou dela. Em setembro de 2016, a empresa foi
destaque durante a operação para fechar o serviço vDos, que na época era considerado o serviço mais popular do mundo para a solicitação de ataques DDoS. O BackConnect supostamente atacou a si mesmo através do vDos - e realizou um "contra-ataque" incomum, capturando 255 endereços IP do inimigo por
interceptação de BGP (seqüestro de BGP). Conduzir um ataque desse tipo para defender os interesses de alguém gerou opiniões conflitantes na comunidade de segurança da informação. Muitos acharam que o BackConnect havia passado dos limites.
A interceptação simples de BGP é realizada anunciando o prefixo de outra pessoa como seu. Os uplinks / colegas aceitam e começam a se espalhar pela Web. Por exemplo, em 2017, supostamente como resultado de uma falha de software, a Rostelecom (AS12389)
começou a anunciar os prefixos Mastercard (AS26380), Visa e algumas outras organizações financeiras. O BackConnect funcionou aproximadamente da mesma maneira quando desapropriou endereços IP do host búlgaro Verdina.net.
O CEO da BackConnect, Bryant Townsend, mais tarde,
desculpou-se por enviar o NANOG às operadoras de rede. Ele disse que a decisão de atacar o espaço de endereços do inimigo não foi fácil, mas eles estavam prontos para responder por suas ações: “Embora tivéssemos a oportunidade de ocultar nossas ações, sentimos que isso seria errado. Passei muito tempo pensando sobre essa decisão e como ela poderia afetar negativamente a empresa e a mim aos olhos de algumas pessoas, mas no final eu a apoiei. ”
Como se viu, o BackConnect não é a primeira vez que usa a interceptação de BGP, mas a empresa geralmente tem um histórico sombrio. Embora seja necessário observar que a interceptação de BGP nem sempre é usada para fins maliciosos. Brian Krebs
escreve que ele usa os serviços da Prolexic Communications (agora parte da Akamai Technologies) para proteger contra DDoS. Foi ela quem descobriu como usar o seqüestro de BGP para se proteger contra ataques DDoS.
Se uma vítima de um ataque DDoS procura ajuda da Prolexic, esta converte os endereços IP do cliente em si mesma, o que permite analisar e filtrar o tráfego recebido.
Como o BackConnect forneceu serviços de proteção contra DDoS, foi realizada uma análise sobre quais interceptações do BGP podem ser consideradas legítimas no interesse de seus clientes e quais parecem suspeitas. Isso leva em consideração a duração da captura dos endereços de outra pessoa, o quão amplamente anunciado é o prefixo de outra pessoa, se há um acordo confirmado com o cliente etc. A tabela mostra que algumas das ações do BackConnect parecem muito suspeitas.
Aparentemente, uma das vítimas processou o BackConnect.
A declaração de confissão de Preston (pdf) não indica o nome da empresa, que o tribunal reconheceu como vítima. A vítima é referida como
vítima 1 no documento.
Como mencionado acima, uma investigação sobre o BackConnect começou após a invasão do serviço vDos. Em seguida, os
nomes dos administradores de serviço, bem como o banco de dados vDos, incluindo seus usuários registrados e registros de clientes que pagaram vDos pela realização de ataques DDoS,
ficaram conhecidos .
Esses registros mostraram que uma das contas no site vDos está aberta para endereços de email associados a um domínio registrado em nome de Tucker Preston. Essa conta iniciou ataques a um grande número de destinos, incluindo vários ataques
à rede pertencentes
à Free Software Foundation (FSF).
Em 2016, o ex-administrador da FSF disse que em algum momento uma organização sem fins lucrativos estava pensando em trabalhar com o BackConnect, e os ataques começaram quase imediatamente depois que a FSF disse que procuraria outra empresa para se proteger contra DDoS.
De acordo com uma
declaração do Departamento de Justiça dos EUA, Tucker Preston está enfrentando prisão de até 10 anos e uma multa de até US $ 250.000 por esse item, o que dobra o lucro ou a perda total do crime. O veredicto será pronunciado em 7 de maio de 2020.
A GlobalSign apresenta soluções PKI escalonáveis para organizações de qualquer tamanho.
Mais detalhes: +7 (499) 678 2210, sales-ru@globalsign.com.