რატომ ერჩიან ბრაიან კრებსს – ისრაელელი ჰაკერების საქმე

ვინ არის ბრაიან კრებსი?

ბრაიან კრებსი კიბერ უსაფრთხოების ერთ-ერთი ყველაზე ცნობილი სპეციალისტი, მკვლევარი და ბლოგერია, რომელიც უკვე მრავალი წელია აქვეყნებს მაღალი დონის სტატიებს. ისინი გამოირჩევა ღრმა ანალიზით. კრებსი მიმოიხილავს ყველა დეტალს და გასაგებ ენაზე გადმოსცემს აზრს. მისი სტატიები არაერთხელ დახმარებიან სხვადასხვა სამართალდამცავ უწყებებს ე.წ „ჰაკერულ“ დანაშაულებებთან დაკავშირებით. ეს კი თავისთავად კიბერ დამნაშავეების გულისწყრომას იწვევს.

ddos-attack-on-krebsonsecurity-com

ბოლო 4 წლის განმავლობაში კრებსის ვებსაიტზე განხორციელდა 269 DDoS შეტევა. მათი უმეტესობა ბოლო 2 წლის განმავლობაში დაფიქსირდა. როგორც Akamai-ს მიერ გამოქვეყნებული გრაფიკიდან ხედავთ, შეტევების მაქსიმალური სიხშირე მოდის 2015 წლის ზაფხულზე – ჰაკერები ბრაიან კრებსის გაჩუმებას საიტის გათიშვის მეშვეობით ცდილობდნენ. საქმე ის არის, რომ ამ დროს კრებსი წერდა სტატიათა სერიას ე.წ. booter და stresser სერვისებზე, რომლის გამოც არაერთი ჰაკერი დაიჭირეს და ამ სერვისების მეპატრონეებს დიდი ოდენობით ფინანსური ზიანი მიადგათ. იმ დროს ეს სერვისები გადარიცხვებისთვის იყენებდნენ PayPal-ს, რომელმაც კრებსის სტატიებზე დაყრდნობით გამოააშკარავა ჰაკერთა ფინანსური ბრუნვის მეთოდოლოგია, შეიმუშავა თაღლითობის გამოვლენისა და აღმოფხვრის სხვადასხვა მეთოდები და დიდად გაურთულა საქმე კიბერ დამნაშავეებს. ისინი ფაქტიურად ვეღარ რიცხავდნენ თაღლითური გზით ნაშოვნ თანხებს, რის გამოც ბიტკოინზე მოუწიათ გადასვლა.

დროის გასვლასთან ერთად, ჰაკერები როგორც კრიმინალურ სერვისებს, ისე შეტევის პოტენციალსაც ავითარებდნენ. როგორც აღმოჩნდა, მათ არსენალში ჰქონდათ მანამდე ყველასთვის უცნობი შეტევა, რომელსაც ჩვენ IoT მოწყობილობების მეშვეობით განხორციელებულ DDoS-ად ვიცნობთ. ბუნებრივიაამ ტიპის შეტევა როდისმე უნდა განხორციელებულიყო, მაგრამ ჰაკერები ერიდებოდნენ მის სააშკარაოზე გამოტანას, რადგან იცოდნენ გრანდიოზულ შეტევას ასეთივე გრანდიოზული უკურეაქცია მოჰყვებოდა.

საჭირო იყო განსაკუთრებული მიზეზი, რომელიც ჰაკერებს აიძულებდა მთელი თავისი არსენალით ჩართულიყვნენ ბრძოლაში. ეს მიზეზი გამოდგა ისრაელელი ჰაკერების საქმე, როდესაც ბრაიან კრებსის სტატიაზე დაყრდნობით (FBI-ს მეშვეობით დაგაზავნილი ინფორმაციის საფუძველზე) ისრაელის სამართალდამცავებმა დააპატიმრეს vDOS-ის ორი თანამფლობელი – იტაი ჰური და იარდენ ბიდანი.

vDOS-ის საქმე

vDOS იყო ე.წ. booter სერვისი, რომელიც მომხმარებლებს სთავაზობდა DDOS შეტევას გარკვეული ანაზღაურების სანაცვლოდ. შეთავაზება აღწერილი იყო როგორ საკუთარი საიტის გამძლეობის შემოწმების სერვისი, თუმცა მომხმარებელთა დიდი უმრავლესობა მას კონკურენტების ჩასაძირად იყენებდა. რა თქმა უნდა, ეს იცოდნენ სერვისის მეპატრონეებმა, მაგრამ არაფერი გაუკეთებიათ.

2 წლის განმავლობაში vDOS-მა $600,000 აშშ დოლარზე მეტი შემოსავალი მიიღო და აღმოჩნდა რომ ამ სერვისით ათასობით ადამიანი სარგებლობდა. ყველაფერი სააშკარაოზე გამოვიდა სერვისის დაჰაკვის შემდეგ. ვინ დაჰაკა vDOS უცნობია, თუმცა მოპოვებული მონაცემთა ბაზა ბრაინ კრებსისთვის ხელმისაწვდომი გახდა 2016 წლის ივლისში.

vdos

სერვისი მომხმარებელს სთავაზობდა DDoS შეტევას გარკვეული დროით და სწორედ შეტევის დროზე იყო დამოკიდებული სერვისის ღირებულება. აღმოჩნდა, რომ მხოლოდ 4 თვის მანძილზე vDOS პასუხისმგებელი იყო 277 მილიონ წამ შეტევაზე, რაც თითქმის 9 წელია. წარმოიდგინეთ, 9 DDoS წელი, რომელიც სულ 4 თვეში განხორციელდა. ეს შესაძლებელი გახდა იმიტომ, რომ vDOS ასობით და ათასობით შეტევას ერთდროულად აწარმოებდა. 4 თვეზე ძველი მონაცემები ლოგებიდან წაშლილი იყო, ამიტომ უცნობია რამდენი შეტევა განხორციელდა 2012 წლიდან 2016 წლის მარტის ჩათვლით, მაგრამ არ შევცდებით თუ ვივარაუდებთ, რომ შეტევის დრო ათეულობით წლები იქნებოდა (თუ არა ასეულობით).

როგორ დაჰაკეს vDOS?

კრებსის წყარო აანალიზებდა ახალ აღმოჩენილ სისუსტეს სერვისზე, რომელსაც PoodleStresser ჰქვია. კვლევის შედეგად წყარომ მიაგნო ხვრელს, რომელმაც საშუალება მისცა ჩამოეტვირთა PoodleStresser-ის სერვერების კონფიგურაციის ფაილი, საიდანაც გაირკვა რომ ეს სერვერები უკავშირდებოდა api.vdos-s[dot]com-ს. აქედან უკვე შესაძლებელი გახდა უფრო სერიოზული სისუსტის პოვნა და გამოყენება – წყარომ ჩამოტვირთა სერვისის ყველა ბაზა და კონფიგურაციის ფაილი. გაირკვა ოთხივე ნაქირავები სერვერის რეალური მისამართი – ეს იყო Verdina.net-ზე ბულგარეთში განთავსებული სერვერები. სწორედ ეს სერვერები გამოიყენებოდა შეტევების საწარმოებლად. vDOS სერვისი დაცული იყო  Cloudflare-ის მეშვეობით (!) და მისი რეალური მისამართი იყო 82.118.233.144.

vDOS კიბერ ფორუმებზე ცნობილი იყო მომსახურებისა და ტექნიკური დახმარების მაღალი დონით. ბაზების კვლევამ აჩვენა რამდენად მაღალორგანიზებულად მოქმედებდნენ ჰაკერები ლოჯისტიკური გამოწვევების წინააღმდეგ, რაც განპირობებული იყო ათობით ათასი მომხმარებლისთვის მომსახურების შეთავაზებით – მათი უმეტესობა ხომ სერვისს ერთსა და იმავე დროს იყენებდა.

ტექნიკურ პერსონალთან არაერთი საჩივარი იყო შესული იმის თაობაზე, რომ შეტევის განხორციელება შეუძლებელი იყო ისრაელში ბაზირებულ ვებ საიტებზე.

პასუხები აჩვენებს, რომ ამ სერვისის მფლობელები სწორედ ისრაელში ცხოვრობდნენ და სერვისი ისე ჰქონდათ აწყობილი, რომ შეუძლებელი ყოფილიყო ისრაელის ვებ საიტებზე შეტევა – სავარაუდოდ იმიტომ, რომ არ მიეპყროთ ადგილობრივ სამართალდამცავთა ყურადღება, რაც თავისთავად პრობლემებს შეუქმნიდათ. გთავაზობთ რამდენიმე პასუხს:

ddos-on-krebs

ვინ მართავდა vDOS-ს?

პასუხებიდან ხედავთ ორ ისრაელ ჰაკერს, vDOS-ის მფლობელებსა და ამავდროულად ოპერატორებს, მეტსახელად P1st (იგივე P1st0) და AppleJ4ck-ს. ისინი თავის სერვისს უმეტესად არეკლამებდნენ ჰაკერულ ფორუმზე –  hackforums[dot]net. სერვისის ღირებულება დროის მიხედვით განისაზღვრებოდა და მერყეობდა $20-დან $200 აშშ დოლარამდე. AppleJ4ck ფორუმზე დარეგისტრირებულია იმავე ნიკით, ხოლო P1st შეცვლილი აქვს ნიკი და ფორუმზე იცნობენ როგორც M30w-ს.

vdos-logsროგორც აღმოჩნდა, vDOS ყველაზე დიდხანს მოქმედი მსგავსი სერვისია, რომელმაც 2 წელში დადასტურებულად იშოვა $618,000 აშშ დოლარი. სერვისი ფულს იღებდა ბიტკოინისა და ფეიფალის მეშვეობით. გარკვეულ პერიოდში, მფლობელები თანხის სანაცვლოდ (მოპარულ) საკრედიტო ბარათებსაც იღებდნენ. თუმცა ბაზაში ამ ბარათების მონაცემები ვერ იპოვეს, ამიტომ დაუდგენელია, რა ოდენობის თანხა მიიღეს მესაკუთრეებმა საბარათო გადარიცხვებით.

ვებ ჰოსტინგის სერვერზე vDOS-თან ერთად დაჰოსტილია კიდევ რამდენიმე საიტი. ესენია: huri[dot]biz, ustress[dot]io და vstress[dot]net. სერვის vDOS-ის ყველა ადმინისტრატორს აქვს იმეილი, რომელიც ბოლოვდება v-email[dot]org-ზე. ეს დომენი დარეგისტრირებულია იტაი ჰურის სახელზე და მითითებულია ისრაელის სატელეფონო ნომერი.

vDOS-ის სერვისი ისე იყო აწყობილი, რომ როდესაც საიტზე კლიენტი ითხოვდა ტექნიკურ დახმარებას, ამის შესახებ მესიჯი იგზავნებოდა ადმინისტრატორების კუთვნილ 6 სხვადასხვა მობილურ ნომერზე. მესიჯების დასაგზავნად გამოყენებული იყო Nexmo.com-ის სერვისი. მოცემული 6 ნომრიდან ორი იყო ისრაელური. ერთი მათგანი ზუსტად ის ნომერია, რომელიც მითითებული აქვს იტაი ჰურის ჰოსტინგზე დომეინის (v-email[dot]org ) შესყიდვისას. მეორე ნომერი კი ეკუთვნის ისრაელის მოქალაქეს სახელად იარდენ ბიდანის.

მოპოვებული ბაზებიდან ასევე ირკვევა, რომ იმეილ მენეჯმენტისთვის ჰაკერები იყენებდნენ Mailgun-ს, ხოლო vDOS-ის IT მხარდაჭერის მეილებია: itay@huri.biz, itayhuri8@gmail.com და raziel.b7@gmail.com.

vDOS-ის შემოსავლები

ის $618,000 დოლარი, რომელიც ლოგებში ჩანს, ბუნებრივია არ აღწერს რეალობას. ჯერ ერთი, გასათვალისწინებელია ის გარემოება, რომ ლოგები არსებობს მხოლოდ 2014 წლიდან, მაშასადამე ეს თანხა გამომუშავებულია მხოლოდ 2 წელში. სერვისი კი არსებობს 2012 წლიდან. არ შევცდებით თუ ვივარაუდებთ, რომ 4 წლის შემოსავლები მილიონზე მეტი უნდა ყოფილიყო.easycash

ამ ყველაფერს უნდა დაემატოს ისიც, რომ ანაზღაურების სახით, ჰური და ბიდანი იღებდნენ საკრედიტო ბარათებსაც. საკრედიტო ბარათებით გადახდისას, როგორც წესი, საკრედიტო ბარათზე არსებული თანხა ბევრად აღემატება იმ თანხას, რომელიც სერვისი ღირს. ეს დაკავშირებულია იმ რისკთან, რომელიც საკრედიტო ბარათებიდან თანხის განაღდებისას არსებობს. აქედან გამომდინარე, საკრედიტო ბარათებით მიღებული თანხა არც ისე მცირე უნდა ყოფილიყო.

vDOS თანხების გადარიცხვისთვის ჰაკერები იყენებდნენ ფეიფალსა და ბიტკოინს. ფეიფალის გამოყენებისას AppleJ4ck და p1st იბირებდნენ ფორუმის სხვა წევრებს, რათა თაღლითური ფული მათ ანგარიშებზე გადარიცხულიყო, როგორც შუალედურ რგოლზე და კვალი არეულიყო.

ბოლო პერიოდში სერვისის მფლობელები გადავიდნენ Coinbase-ის გამოყენებაზე და ხელი აიღეს ფეიფალზე ზუსტად იმ მიზეზით, რაც ზემოთ ვახსენეთ – 2015 წლის ზაფხულში ფეიფალმა სერიოზული სამუშაოები ჩაატარა თაღლითების გამოსავლენად და მათი ანგარიშების დასაბლოკად, რაშიც მნიშვნელოვანი როლი კრებსის სტატიებმა ითამაშა.

თანხების გადარიცხვისას, ჰაკერები Coinbase-ს ტრაფიკზე იყენებდნენ შუალედურ სერვერს (45.55.55.193). ეს სერვერი განთავსებულია ამერიკაში. მაშასადამე, როდესაც ბიტკოინებში გადმორიცხული თანხა მოვიდოდა, Coinbase ატყობინებდა ამის შესახებ შუალედურ სერვერს და არა რეალურ სერვერებს, რომელიც ბულგარეთში იყო განთავსებული. მხოლოდ მას შემდეგ რაც შუალედური სერვერი მიიღებდა შეტყობინებას თანხის გადარიცხვის თაობაზე, ხდებოდა ბაზების დააფდეითება ბულგარეთში. ეს სქემა იმისთვის იყო მოფიქრებული, რომ ჰაკერები ფიქრობდნენ, დიდი რაოდენობით ამერიკული გადარიცხვები ნაკლებ ყურადღებას მიიპყრობდა, ვიდრე ბულგარეთიდან მომავალი ტრაფიკი და არც თუ უსაფუძვლოდ.

შეჯამება

ზემოთ მოცემული ინფორმაცია სწორედ ბრაიან კრებსის მიერაა მოგროვებული და გამოქვეყნებულია წლევანდელი წლის ზაფხულის ბოლოსა და შემოდგომის დასაწყისში.

ახლა, როდესაც საკმარის ინფორმაციას ფლობთ, ალბათ უკვე კითხვაც აღარ ჩნდება, თუ რატომ მოინდომეს ბრაიან კრებსისთვის სამაგიეროს გადახდა. DDoS ხომ ერთგვარი ცენზურაა – შეუტიე საიტს, გათიშე და ვეღარავინ ვერაფერს წაიკითხავს. ძნელი სათქმელია ზუსტად რისი იმედი ჰქონდათ ჰაკერებს, მაგრამ აშკარაა იმდენად დიდი იყო გაღიზიანება, რომ ასე ვთქვათ, ჰაკერული არტილერია ჩართეს ბრძოლაში და 665გბ/წმ შეტევით აიძულეს Akamai უარი ეთქვა კრებსის ვებ საიტის დაცვაზე.

ამ შეტევამ DDoS-ის და ზოგადად, ვებსაიტებზე თავდასხმისა და თავდაცვის მიდგომა სამუდამოდ შეცვალა. სექტემბრისა და ოქტომბრის 1.2 ტბ/წმ შეტევის შემდეგ, დააკავეს არაერთი ჰაკერი და მიმდინარეობს სხვადასხვა თავდაცვის მეთოდების შემუშავება. საუბარია IoT მოწყობილობების ფარად გამოყენებაზეც.

omniscientუკანასკნელი დაკავებების შემდეგ hackforums[dot]net-ის ადმინისტრატორი ჯესი ლაბროკა (Jesse LaBrocca), რომელიც ფორუმზე ცნობილია მეტსახელით Omniscient („ყოვლისმცოდნე“), მიუხედავად იმისა, რომ სერიოზულ შემოსავლებს დაკარგავდა, იძულებული გახდა ფორუმის გადასარჩენად დაეხურა სტრესერების განყოფილება მთლიანად.

მეგა-DDoS კრებსისთვის ჰაკერების მიერ შექმნილი პრობლემებიდან მხოლოდ ერთ-ერთია. მისთვის ფოსტით ჰეროინიც გაუგზავნიათ და სპეცდანიშნულების რაზმიც დაუყენებიათ თავზე მის სახლში მძევლების არსებობის ცრუ შეტყობინების მეშვეობით. მიუხედავად ყველაფრისა, კრებსი აგრძელებს თავის საქმიანობას და მისი ვებსაიტი krebsonsecurity.com კვლავაც აქტიურია.