Пользовательский интерфейс для Downthem[.] org, одного из 15 загрузочных сайтов, захваченного федералами
Министерство юстиции опубликовало победный пресс-релиз, в котором сообщает о захвате 15 доменов. По этим адресам раньше можно было заказать услуги «стрессинга», то есть проверки на прочность своего сайта путём некоего подобия DDoS-атаки на него. Естественно, цивилизованные стресс-тесты — лишь ширма для проведения DDoS-атак на чужие сайты, что запрещено законом.
Операция ФБР состоялась за неделю до рождественских праздников, когда игровые платформы традиционно падают под большой нагрузкой, которую сопровождает традиционный DDoS.
Нелегальные сайты за определённую плату предлагали услуги типа “booter” или “stresser”. Клиент мог заказать мощные распределённые атаки типа «отказ в обслуживании», то есть DDoS. Как сообщает Министерство юстиции, от подобных атак пострадало большое количество сайтов в США и за рубежом, в том числе финансовые учреждения, университеты, интернет-провайдеры, правительственные системы и различные игровые платформы.
- anonsecurityteam[.]com
- booter[.]ninja
- bullstresser[.]net
- critical-boot[.]com
- defcon[.]pro
- defianceprotocol[.]com
- downthem[.]org
- layer7-stresser[.]xyz
- netstress[.]org
- quantumstress[.]net
- ragebooter[.]com
- request[.]rip
- str3ssed[.]me
- torsecurityteam[.]org
- vbooter[.]org
Министерство юстиции также предъявило уголовные обвинения трём подозреваемым в проведении нелегальных стресс-тестов.
Согласно судебным документам, каждый из 15 сайтов предлагал лёгкий доступ к инфраструктуре для проведения атаки, предоставлял возможность оплаты услуг разными способами, включая биткоин, а тарифы были относительно низкими.
ФБР протестировало каждый сервис. Для этого была заказана соответствующая услуга DDoS. При тестировании различных служб ФБР определило, что «эти типы служб могут вызывать и вызывают сбои в работе сетей на всех уровнях».
После проведения расследования 19 декабря 2018 года выданы ордеры на арест следующих подозреваемых:
- Мэтью Гатрел (Matthew Gatrel), 30 лет, Санкт-Чарльз, штат Иллинойс,
- Хуан Мартинес (Juan Martinez), 25 лет, Пасадена, штат Калифорния.
Они обвиняются в «заговоре с целью нарушения Закона о компьютерном мошенничестве и злоупотреблениях». Правительство утверждает, что Гатрел и Мартинес постоянно сканировали интернет на наличие неправильно настроенных устройств, а затем продавали списки IP-адресов, привязанных к этим устройствам, операторам других DdoS-сервисов. Среди покупателей был и Дэвид Букоски (см. ниже).
Судя по всему, этим двоим принадлежали сервисы Downthem и Ampnode. Первый напрямую предлагал клиентам услуги по проведению DDoS-атак, а второй предлагал ресурсы для создания автономных DDoS-систем. В период с октября 2014 года по ноябрь 2018 года в базе данных Downthem числится более 2000 клиентских записей. Сервис использовали для проведения или попытки проведения более 200 000 DDoS-атак, сказано в пресс-релизе Министерства юстиции.
12 декабря 2018 года прокуратура округа Аляска выдвинула обвинение против третьего подозреваемого — 23-летнего Дэвида Букоски (David Bukoski) из городка Ганновер, штат Пенсильвания. В документах утверждается, что Букоски управлял сервисом Quantum Stresser, одним из самых активных и авторитетных DDoS-сервисов в интернете. По состоянию на 29 ноября 2018 года в Quantum зарегистрировано более 80 000 клиентских записей, первые из которых произведены после запуска сервиса в 2012 году. Только в 2018 году Quantum был использован для запуска более 50 000 фактических атак или попыток их проведения.
Брайан Кребс пишет, что данная операция ФБР и других правоохранительных органов отличается от предыдущих случаев закрытия DDoS-сервисов тем, что правительство на самом деле тестировало каждый из этих сервисов, заказывая там услуги. На самом деле в документах сказано, что власти идентифицировали минимум 60 различных сервисов для проведения атак, работающих с июня по декабрь 2018 года, но «не все они полностью функционируют и способны запускать атаки». Таким образом, 15 закрытых служб — это действительно рабочие сервисы, через которые ФБР сумело успешно провести DDoS.
Представители Министерства юстиции признают, что закрытие этих 15 сайтов «не решит проблему раз и навсегда», и вместо закрытых сервисов появятся другие.
Комментарии (10)
ReklatsMasters
23.12.2018 16:07В рунете, помню, был подобный сайт в начале 2010х.
teecat
24.12.2018 13:49Набрал в гугле запрос «заказать DDoS». Гугл предложил дополнить предложение словом «бесплатно». Помедитировал над количеством предложений типа
Устали искать где заказать DDos атаку?!… Ботнет который используются нами уникален в своем роде...
Арсенал огромен в него входят ботнет сети, сервера с открытым
спуфингом, IOT ботнет
Даже не скрывают, что вредоносные атаки
Ezhyg
23.12.2018 21:17Бизнес идея: сайт предлагающий легальные услуги проверки на DDoS. Клиенты подключаются, чтобы проверить своё, но при этом и отправляют запросы на чужое, чуточку запросов от одного — не сильная нагрузка, зато суммарно от многих — ого-го. Почему-то прямо видится какая-то «пиринговая» сеть, но обязательно легальная, чем-то похоже на «сеть» speedtest.
Дарю! «за идею благодарить не надо, мне уже складывать трупы некуда. Да шучу, мест полно, обращайтесь» :)Popadanec
23.12.2018 23:37Где то несколько лет назад уже видел реализацию. Всё легально, только память не сохранила названий.
RomaZveR
24.12.2018 06:13Да они все сейчас так и работают. В 16м году их было просто запредельное кол-во (чуть-ли не у каждого бразильского скрипт-кидди), можно было за копейки серьёзные атаки делать. Сейчас вроде на спад пошло.
Чтобы сделать это легальным, нужно подтверждать владение конкретным сервером через софт.Ezhyg
24.12.2018 08:49То есть сейчас они работают нелегально? Тогда с какой стати «так и работают», если я оговорил конкретное условие — легальность, ещё до вашего, наверняка, весьма ценного комментария?!
cyrillpetroff
24.12.2018 06:12Мне вот интересно. Допустим есть такой сервис, который предлагает провести тестирование СВОЕГО сайта. А если клиент вместо своего тупо указывает сайт конкурента и его ложит. И кого же нужно сажать в итоге?
MoonChild123
24.12.2018 09:37Ну это же легко проверить и сделать защиту. Как вариант-предложить заказчику добавить уникальный DNS-TXT ключ или разместить его же в корне сайта в виде $root/stress-scan-key.txt
jevius
Спасибо за скриншот! Это как за штурвал самолета первый раз сесть и все изучить