W dzisiejszych czasach nie jest łatwo zachować anonimowość w sieci, nawet wtedy, gdy jest ona szczególnie potrzebna. Aby jednak zostawić po sobie tyle śladów, jak pewien Kanadyjczyk, chcący zaszkodzić byłemu pracodawcy, trzeba się naprawdę postarać.
Bardzo ciekawy przypadek opisuje Brian Krebs. Kevin Courtois, 28-latek z Three Rivers w Kanadzie, rzucił pracę w Concepta, lokalnej firmie zajmującej się bezpieczeństwem informatycznym, by założyć swój własny biznes. Firma stała się ofiarą ataków DDoS, które trwały przez kilka miesięcy na przełomie roku 2012/13. Atakujący był tak uparty, że skutki jego poczynań (osiągające do 10 Gbps) poważnie odczuła inna firma, Xittel, dostarczająca łącza dla Concepta. Xittel, boleśnie dotknięty atakami (oznaczały one brak łączności dla tysięcy klientów firmy, w tym problemy z działaniem numerów alarmowych) wynajął zewnętrznego konsultanta, Roberta Masse.
Tylko jeden podejrzany
Masse przystąpił do śledztwa, którego przebieg i skutki przedstawił na konferencji BlackHat. Wytypowanie podejrzanego nie było trudne. Firmy Xittel i Concepta szybko ustaliły, że na liście znajduje się tylko jedno nazwisko – pracownika, który opuścił Concepta, by założyć własną firmę specjalizującą się w ochronie przed atakami DDoS. Masse szybko namierzył w serwisach Hacksociety.net i Hackforums.net, popularnej przystani sprzedawców usług „hakerskich”, użytkownika o pseudonimie Concepta, który 25 października 2012 pytał o usługi DDoS. Przez zbieg okoliczności tego samego dnia odnotowano pierwszy atak na sieć Xittela. Użytkownik posługiwał się językiem angielskim specyficznym dla francuskojęzycznych Kanadyjczyków, zatem pasował do profilu wytypowanego sprawcy.
Publiczny profil facebookowy skarbnicą wiedzy
Na facebookowym profilu Kevina Courtois natrafiono na kolejny ślad – Courtois polubił stronę „Demolition Stresser”. Bliższa analiza wykazała, że „Demolition Stresser” to tak naprawdę „RageBooter”, popularne narzędzie DDoS. Z takim zestawem informacji firma zgłosiła sprawę policji, jednak ta uznała dowody za niewystarczające. Masse zaczął się zatem przyglądać usłudze RageBootera. Kupił dożywotni pakiet za 200 dolarów i rozpoczął testy. Szybko zorientował się, że za tą kwotę może bez problemu wygenerować ruch na poziomie 10 Gbps, z którym nie poradzi sobie większość firm. Jak jednak dowiedzieć się, kto stoi za atakiem na Xittel?
Wzorowa obsługa klienta
Masse postanowił spróbować po prostu zapytać. Skontaktował się z właścicielem usługi za pomocą Skype i zapytał, ile będzie kosztować udostępnienie danych atakującego. Właściciel RageBootera był tak zaskoczony pytaniem, że najpierw potwierdził, że serwery Concepta są obiektem ataku, a następnie przez pomyłkę (lub z rozpędu) wkleił nazwę użytkownika, który zlecił ataki. Szybko jednak się zorientował, że chyba tego nie chciał i skasował wiadomość z czatu.
Masse się nie poddał – skoro wiadomość najpierw była na ekranie, a potem zniknęła, to może pozostała w pamięci komputera? Szybko skorzystał z narzędzie OSXPmem i znalazł poszukiwany fragment.
Zrzut usuniętego czatu z pamięci (źródło: Masse)
Zgromadzone dowody wystarczyły tym razem, by przekonać sędziego do wydania nakazu przeszukania. Co ciekawe, podejrzany nie wydawał się być w ogóle zaskoczony wizytą organów ścigania i chętnie wydał swoje nośniki danych. Dodatkowo Masse odkrył, że podejrzany dwa dni wcześniej odwiedził jego profil w serwisie LinkedIn – prawdopodobnie włamał się do komputera lub skrzynki pocztowej swojego byłego szefa, który był informowany na bieżąco o postępach śledztwa. Jak się później okazało, przekazane dyski były wyczyszczone – jednak niewystarczająco dokładnie. Dodatkowo Courtois za usługę ataku DDoS zapłacił za pomocą swojego konta Paypal.
Zawsze używam jednego adresu poczty
Do tej historii, przedstawionej przez Roberta Masse, ciekawe informacje dodał Brian Krebs. Krebs już wcześniej analizował usługi RageBootera, ustalając tożsamość jego właściciela. Był również w posiadaniu bazy klientów RageBootera, która w tajemniczy sposób wyciekła z serwisu. W bazie tej znalazł konto „Concepta2”, zarejestrowane za pomocą adresu traverse2000[at]hotmail.com. Jak się okazuje, ten sam adres poczty elektronicznej był wykorzystany do zarejestrowania kilkudziesięciu domen internetowych, z których większość należy do naszego głównego podejrzanego.
Historia z morałem
Choć z powyższej historii można wyciągnąć morał taki jak „nie płać za DDoS swoim Paypalem”, „nie klikaj „lubię” na usłudze DDoS, którą kupujesz” lub „rejestrując konto w serwisie DDoS nie używaj swojego głównego adresu email”, to najważniejszy chyba będzie „nie bądź taki pewien swojej anonimowości w sieci”.
Komentarze
Czy tylko mnie nie dziwi pochodzenie sprawcy?
to nie mogl byc on , w jego obronie stanie cala kanada
Hmm…. Czemu konieczne jest wlaczenie najwiekszej dziury w bezpieczenstwie przegladarki internetowej(ok, drugiej po java i flasz)- java script- zeby zobaczyc za pomoca jakiego adresu email zostalo zalozone konto concepta2? Chodzi o przedostatni paragraf: „Zawsze używam jednego adresu poczty”. Dzieki za odpowiedz.
A to sprawka CloudFlare, który zabezpiecza adresy email. Zaraz poprawimy :)
I to jeszcze facet od bezpieczeństwa. Trzeba pomyśleć nad jakimś odpowiednikiem nagrody Darwina :)
Bardzo ciekawy artykuł. Dzięki za lekturę!
„nie bądź taki pewien swojej anonimowości w sieci” – z tekstu nie wynika, że atakujący w ogóle próbował być anonimowy :-)
Gratuluje kolejnej świetnej opowieści – czekam na następne :-)
„przekazane dyski były wyczyszczone – jednak niewystarczająco dokładnie”
Czy można to jakoś rozwinąć? Nie spotkałem się z metodą odzyskania danych z wyczyszczonego (nadpisanego choćby raz zerami) dysku.
Sama prezentacja nie rozwijała tematu, ale łatwo można sobie wyobrazić, że sprawca np. wyczyścił pojedyncze pliki/foldery, zamiast sformatować/nadpisać cały dysk. Biorąc pod uwagę poziom sprawcy możliwe też, że dyski sformatował w trybie „szybkim”, bez nadpisania danych…
Zawsze chciałem dorwać takiego hakerka-kozaka zza klawiatury, złapać za łeb, nastrzelać po mordzie i zobaczyć, czy w trybie offline tez jest takim kozakiem.