אתר vDOS של האקרים מישראל לשירותי השכרת התקפות DDOS נפרץ בעצמו
מאת:
מערכת Telecom News, 8.9.16, 21:04
מסתבר, שהאתר הרוויח למעלה מ-600,000 דולרים בשנתיים האחרונות בשירות Attack-for-Hire להפעלת 150,000 התקפות מניעת שירות על אתרי אינטרנט. מאחורי האתר עומדים 2 ישראלים, שקבלו תשלומים בביטקוין.
כפי שהתפרסם
היום באתר
KrebsonSecurity (של העיתונאי
בריאן קרבס -
Brian Krebs), אתר
vDOS https://vdos-s.com להפלת אתרים הוקם בספטמבר 2012 ומופעל ע"י 2 האקרים ישראלים צעירים עם שירותי תמיכה מהאקרים אמריקאים.
האתר מכר חבילות (להלן תמונה של עמוד הבית של האתר) בתלות במספר השניות של מתקפות ה-
DDOS (מתקפות מניעת שירות). בתקופה בין אפריל 2016 ליולי 2016 היה
vDOS אחראי ל-227 מיליון שניות זמן התקפה. האתר היה אחראי על מרבית מתקפות ה-DDOS בשנים האחרונות.
הפריצה ל-
vDOS , שחשפה את פרטי הלקוחות ואת מטרות האתר, התקיימה בעקבות בחינת אתר שירות דומה להשכרת מתקפות בשם
PoodleStresser, (וגילוי בקונפיגורציה של קישור ל
-api.vdos-s.com) ולאחר גילוי כתובת האינטרנט האמיתית של 4 שרתים, שנשכרו בבולגריה, ב-
Verdina.net, ששימשו למתקפות, שנמכרו ע"י
vDOS.
שירות ה-DDOS-For-Hire
מתחבא אחרי חברת הגנת DDOS בשם
Cloudflare מקליפורניה.
המידע, שדלף מ-
vDOS, שופך אור על האתגר הלוגיסטי הקשור בביצוע שירות מתקפות ברשת, שתמך בעשרות אלפי לקוחות משלמים.
המתקפות לא יכלו להיעשות על אתרים ישראלים. לקוחות רבים התלוננו על כך. אולם, בעלי אתר השירות הישראלים כיוונו את השירות כך, שלא ניתן יהיה לתקוף בארץ. הם לא רצו למשוך תשומת לב מהרשויות הישראליות. להלן דוגמאות לתלונות הלקוחות על כך:
(‘4130′,’Hello `d0rk`,\r\nAll Israeli IP ranges have been blacklisted due to security reasons.\r\n\r\nBest regards,\r\nP1st.’,’03-01-2015 08:39),
(‘15462′,’Hello `g4ng`,\r\nMh, neither. I\’m actually from Israel, and decided to blacklist all of them. It\’s my home country, and don\’t want something to happen to them :)\r\n\r\nBest regards,\r\nDrop.’,’11-03-2015 15:35),
(‘15462′,’Hello `roibm123`,\r\nBecause I have an Israeli IP that is dynamic.. can\’t risk getting hit/updating the blacklist 24/7.\r\n\r\nBest regards,\r\nLandon.’,’06-04-2015 23:04),
(‘4202′,’Hello `zavi156`,\r\nThose IPs are in israel, and we have all of Israel on our blacklist. Sorry for any inconvinience.\r\n\r\nBest regards,\r\nJeremy.’,’20-05-2015 10:14),
(‘4202′,’Hello `zavi156`,\r\nBecause the owner is in Israel, and he doesn\’t want his entire region being hit offline.\r\n\r\nBest regards,\r\nJeremy.’,’20-05-2015 11:12),
(‘9057′,’There is a option to buy with Paypal? I will pay more than $2.5 worth.\r\nThis is not the first time I am buying booter from you.\r\nIf no, Could you please ask AplleJack? I know him from Israel.\r\nThanks.’,’21-05-2015 12:51),
(‘4120′,’Hello `takedown`,\r\nEvery single IP that\’s hosted in israel is blacklisted for safety reason. \r\n\r\nBest regards,\r\nAppleJ4ck.’,’02-09-2015 08:57),
הבעלים של האתר הם כאמור, 2 ישראלים צעירים המכונים בשמות הקוד:
P1st.a.k.a P1st0 ו-
AppleJ4c
הם
מכרו את שירותיהם ב-vDOS באתר hackforums.net
, ב-20 עד 200 דולרים לחודש לפי חבילות.. הכינוי של הראשון בפורום היה M3ow והשני השתמש בשמו.
להלן צילום כמה מהפוסטים ב-Hackforumes לגבי השירות של vDOS:
מהנתונים שדלפו מסתבר,
שעשרות אלפי לקוחות השתמשו בשירות ושילמו 618,000 דולרים בביטקוין ובעבר גם דרך PayPal (שהבעלים עשו בה שימוש להלבנת הרווחים). במשך תקופה קצרה האתר גם קיבל כרטיסי אשראי. ההערכה היא, ש
מיום השקת השירות, בספטמבר 2012, הרוויחו בעלי האתר יותר ממיליון דולרים.
האימייל של הבעלים מסתיים ב-v-email.org מתחם של
Itay Huri איתי חורי, עם מספר טלפון ישראלי.
שירות התמיכה הטכנית ללקוחות עשה שימוש בהודעות טקסט ל-6 מספרים ניידים הקשורים במנהלים. שירות ה-SMS נקרא
Nextmo.com. שניים ממספרי הסלולר הם בישראל. אחד מהם של
איתי חורי מהוד השרון כפי שרשום במרשם הדומיין והשני של
ירדן בידני Yarden Bidani. דוא"ל בשימוש בשירות
mailgun לתמיכה נשלח ל:
itay@huri.biz, itayhuri8@gmail.com, raziel.b7@gmail.com (רזיאל בקר).
ביולי 2016 הפעילו בעלי האתר אבטחה מוגברת לתשלומי ביטקוין, שהם מקבלים דרך Coinbase. הודעות על קבלת הביטקוין מגיעות לשרת מתווך ולא לשרתים בבולגריה. שרת בארה"ב מ-Digital Ocean מעדכן את הנתונים בבולגריה, מאחר שבעלי vDOS מאמינים, שתשלומים מארה"ב ימשכו פחות תשומת לב ב-Coinbase מאשר סכומים גדולים לבולגריה כל יום.
פרטים נוספים וניתוח מפורט של מומחים לאבטחת מידע על אתר זה ניתן למצוא -
כאן.
בניתוח נכתב, בין היתר:
The extent to which the proprietors of vDOS went to launder profits from the service and to obfuscate their activities clearly indicate they knew that the majority of their users were using the service to knock others offline
While it’s impossible to tell what percentage of vDOS users actually were using the service to stress-test their own sites, the leaked vDOS logs show that a huge percentage of the attack targets are online businesses
עדכון 10.9.16: ההאקרים בני ה-18, איתי חורי (לפני גיוס) וירדן בידני נעצרו ע"י משטרת ישראל לאחר שזו קיבלה פנייה מה-FBI. מסתבר,השהשניים נעצרו ביום ה' 8.9.16 (יום פרסום כתבה זו) ושוחררו למעצר בית ביום שישי בתנאים מגבילים.