На этой неделе ФБР (США) заблокировало 13 доменных имён, связанных с "booter" (запуском атак по принципу DDoS) услугами, которые позволяют клиентам запускать распределённые атаки отказа в обслуживании (DDoS). Десять из этих доменов были вновь созданы на замену тем, которые ФБР захватило в декабре 2022 года, когда было предъявлено обвинение в совершении компьютерных преступлений шести американским гражданам за предполагаемую эксплуатацию "booter" услуг.
Услуги "booter" (запуска атак по принципу DDoS) рекламируются различными способами, включая форумы на Dark Web, чат-платформы и даже youtube (! Нарушает законодательство РФ). Они принимают платежи через PayPal, Google Wallet и/или криптовалюты, и стоимость подписки может варьироваться от нескольких долларов до нескольких сотен долларов в месяц. Цены на услуги обычно зависят от объема трафика, направляемого на цель, продолжительности каждой атаки и количества одновременно разрешенных атак.
Веб-сайты, на главных страницах которых были размещены уведомления о конфискации от ФБР на этой неделе, включают в себя такие "booter" (запуск атак по принципу DDoS) услуги, как cyberstress(.)org и exoticbooter(.)com, которые, как заявляют в ФБР, использовались для запуска миллионов атак против миллионов жертв.
Продавцы "booter" (запуска атак по принципу DDoS) или "stressers" утверждают, что они не несут ответственности за то, как клиенты используют их услуги, и что они не нарушают закон, потому что, как и большинство средств безопасности, эти услуги могут использоваться и в легальных, и в незаконных целях. Большинство сайтов "booter" включают в свои условия использования длинные соглашения, в которых требуется, чтобы клиенты соглашались использовать их услуги только для стресс-тестирования собственных сетей, и что они не будут использовать услугу для атак на других.
Однако Министерство юстиции утверждает, что эти отказы обычно игнорируют тот факт, что большинство "booter" услуг активно сканируют интернет для захвата неправильно настроенных устройств, которые критически важны для максимизации размера и воздействия атак DDoS. Более того, ни одна из услуг, конфискованных правительством, не требовала от пользователей доказательства владения интернет-адресами, которые подвергаются стресс-тестированию, что является обязательным требованием для легитимных служб тестирования.
Это третья в серии акций правоохранительных органов США и международных организаций, направленных на борьбу с "booter" (запуск атак по принципу DDoS) услугами. В декабре 2022 года ФБР конфисковали четыре десятка доменов "booter" и предъявили обвинения в компьютерных преступлениях шести американским гражданам, предположительно владеющим популярными DDoS-услугами на заказ. В декабре 2018 года федеральные агенты направили усилия на 15 сайтов "booter" и троих подсудимых, затем признавших свою вину.
В 2020 году исследователи опубликовали работу под названием "Киберпреступность - это скучно," академическое исследование, посвященное качеству и типам работ, необходимых для создания, поддержания и защиты незаконных предприятий, которые составляют значительную часть рынка киберпреступности как услуги. В исследовании было обнаружено, что эффективное управление "booter" услугой требует огромного количества монотонной и скучной работы, что часто приводит к высоким уровням выгорания у операторов "booter" услуг, даже когда услуга работает эффективно и прибыльно.
Например, управление эффективной "booter" услугой требует значительного объема административной работы и обслуживания, включая постоянное сканирование и управление большими коллекциями удаленных систем, которые могут использоваться для усиления онлайн-атак, сказал один из исследователей. Кроме того, создание узнаваемости бренда и лояльности клиентов требует времени. "Если вы управляете 'booter' и кто-то постоянно отбирает ваш домен или хостинг, вам приходится снова и снова выполнять ту же скучную работу"
В заявлении, опубликованном в среду, прокуроры в Лос-Анджелесе сообщили, что четверо из шести граждан, обвиняемых в прошлом году в управлении "booter" услугами, впоследствии признали себя виновными. Тем не менее, по меньшей мере один из подсудимых из группы 2022 года - Джон М. Доббс, 32 года, из Гонолулу, Гавайи - заявил о своей невиновности и намерен обжаловать свое дело в суде.
Доббс предположительно управлял загрузочным сервисом под названием IPStressor(.)com, также известным как IPS, в период с 2009 по ноябрь. Доббсу будет предъявлено обвинение на Аляске в 10 часов утра 4 января мировым судьей США Мэтью Маккрэри Скоблом.
Его адвокат, помощник государственного защитника Джейми Макгрэйди, не сразу ответил на запрос рекламодателя Honolulu Star о комментариях.
Доббс учился в Гавайском университете в Маноа и получил степень бакалавра компьютерных наук весной 2020 года, затем, по словам представителя UH, этой весной получил степень магистра компьютерных наук.
"Эти веб-сайты для DDoS-атак по найму, с платными клиентами как внутри, так и за пределами Соединенных Штатов, способствовали массовым сбоям в работе сети, нацелившись на миллионы компьютеров-жертв по всему миру", - говорится в заявлении ответственного специального агента Энтони Юнга из местного отделения ФБР в Анкоридже. "Потенциальные пользователи и администраторы должны дважды подумать, прежде чем покупать или продавать эти незаконные услуги. ФБР и наши международные партнеры по правоохранительным органам продолжают наращивать усилия по борьбе с DDoS-атаками, которые будут иметь серьезные последствия для нарушителей".
Многие обвиняемые операторы "stresser" сайтов признавали себя виновными в течение многих лет после того, как их обвинили в федеральных уголовных делах. Но основное утверждение правительства - что управление "booter" сайтом нарушает американские законы о компьютерных преступлениях - не было должным образом отработано в судах до сентября 2021 года.
Это произошло, когда жюри вынесло приговор по виновности Мэтью Гатрелу, тогда 32-летнему мужчине из Сент-Чарльз, Иллинойс, обвиненному в массовом "booter" разгроме, произошедшем в 2018 году. Несмотря на то, что он признал перед агентами ФБР, что управлял двумя "booter" услугами (и предоставил множество улик против самого себя), Гатрел решил отправить свое дело на судебное разбирательство, в течение всего времени защищаясь адвокатами, назначенными судом.
Гатрел был признан виновным по всем трём пунктам обвинения в нарушении Закона о компьютерных преступлениях и злоупотреблениях, включая сговор в целях несанкционированного доступа, сговор в целях мошенничества с использованием сети и несанкционированное доступа на компьютер. Ему было назначено два года тюремного заключения.
Копия ордера ФБР на конфискацию "booter" услуг доступна по этой ссылке (PDF). Согласно Министерству юстиции, среди подсудимых, признавших себя виновными в управлении "booter" сайтами, были следующие лица:
Jeremiah Sam Evans Miller, также известный как "John The Dev", 23 года, из Сан-Антонио, Техас, признал себя виновным 6 апреля в сговоре и нарушении закона о компьютерных преступлениях и злоупотреблениях, связанных с управлением "booter" услугой под названием RoyalStresser[.]com (ранее известной как Supremesecurityteam[.]com);
Angel Manuel Colon Jr., также известный как "Anonghost720" и "Anonghost1337", 37 лет, из Беллвью, Флорида, признал себя виновным 13 февраля в сговоре и нарушении закона о компьютерных преступлениях и злоупотреблениях, связанных с управлением "booter" услугой под названием SecurityTeam[.]io;
Shamar Shattock, 19 лет, из Маргейт, Флорида, признал себя виновным 22 марта в сговоре в нарушении закона о компьютерных преступлениях и злоупотреблениях, связанных с управлением "booter" услугой под названием Astrostress[.]com;
Cory Anthony Palmer, 23 года, из Лодерхилл, Флорида, признал себя виновным 16 февраля в сговоре в нарушении закона о компьютерных преступлениях и злоупотреблениях, связанных с управлением "booter" услугой под названием Booter[.]sx.
Домены "booter", конфискованные ФБР на этой неделе, включают:
cyberstress[.]org
exoticbooter[.]com
layerstress[.]net
orbitalstress[.]xyz
redstresser[.]io
silentstress[.]wtf
sunstresser[.]net
silent[.]to
mythicalstress[.]net
dreams-stresser[.]org
stresserbest[.]io
stresserus[.]io
quantum-stress[.]org