Kto regularnie wyłącza najpopularniejsze serwery gier i właśnie atakuje Tora

dodał 27 grudnia 2014 o 00:36 w kategorii DDoS  z tagami:
Kto regularnie wyłącza najpopularniejsze serwery gier i właśnie atakuje Tora

Jeśli jeszcze nie słyszeliście o Lizard Squad, to pewnie dlatego, że nie gracie w sieci. Ta tajemnicza grupa od kilku miesięcy ku rozpaczy użytkowników nęka zaskakująco skutecznymi atakami DDoS serwery PlayStation Network, Xbox Live czy Blizzarda.

Rzadko zdarza się nam pisać o atakach DDoS. Z reguły trudno o nich napisać coś więcej niż to, że miały miejsce. Mało kto dzieli się szczegółami technicznymi od strony atakującego lub broniącego, a same ataki rzadko wiążą się z nowymi technikami wartymi opisania. Jeśli jednak ofiarami regularnych ataków padają największe usługi gier online, to warto przyjrzeć się tematowi, tym bardziej, że ta sama grupa właśnie próbuje atakować Tora.

Seria ataków

O grupie Lizard Squad pierwszy raz zrobiło się głośno w sierpniu tego roku, gdy na skutek jej ataków chwilowo przestały działać serwery kilku gier, a samolot z prezesem jednej z firm musiał awaryjnie lądować. Przygotowując ten artykuł spróbowaliśmy sporządzić krótkie kalendarium ataków:

  • 18 sierpnia – reaktywowane zostaje konto Twittera @LizardSquad założone 29 listopada 2011 i ogłasza pierwszy atak – ofiarą są serwery League of Legends (Riot Games) a chwilę później również RuneScape
  • 19 sierpnia – do listy ofiar dołącza Battle.net Blizzarda
  • 24 sierpnia – skuteczny atak na PlayStation Network przyciąga uwagę mediów. Tego samego dnia Lizard Squad informuje linię lotniczą American Air, że na pokładzie jednego z jej samolotów znajduje się ładunek wybuchowy. Samolot ląduje awaryjnie i okazuje się, że podróżował nim szef Sony Online Entertainment. Lizard Squad kończy dzień atakami na Xbox Live.
  • 27 sierpnia – atak na serwery Twitch (streaming gier) zatrzymany po tym jak na żądanie atakujących kilku graczy publikuje swoje zdjęcia z tekstem „Lizard Squad” wypisanym mazakiem na czole
  • 23 września – ofiarami są serwery Destiny, Call of Duty: Ghosts
  • 23 listopada – tym razem pada na Electronics Art Online (FIFA, Madden, Sims 4)
  • 1 grudnia – atak  na Xbox Live oraz zapowiedź ataków w trakcie świąt Bożego Narodzenia
  • 8 grudnia – atak na PlayStation Network
  • 25/26 grudnia – seria ataków na PlayStation Network oraz Xbox Live wyjątkowo uciążliwa dla graczy, którzy właśnie odpakowali swoje nowe konsole lub gry znalezione pod choinką
  • 27 grudnia – atak na sieć Tor, o którym nieco więcej piszemy poniżej
Skutek działania grupy

Skutek działania grupy

Kontrowersje, bajki i legendy

Jak łatwo zgadnąć działalność grupy szybko przyniosła skutek w postaci dużej rzeszy zwolenników oraz przeciwników. Pierwsze konto na Twitterze było obserwowane przed jego zamknięciem przez ponad 150 tysięcy  użytkowników. Z niezwykłą regularnością w sieci pojawiają się informacje o „zdemaskowaniu” kolejnych członków grupy, powodującym koniec ataków. Grupa oczywiście ignoruje te wieści i przeprowadza kolejne ataki. Członkowie grupy także nie próżnują, grając na amerykańskich gorących tematach i na przykład wychwalając ataki ISIS. Według firmy IntelCrawler grupa moze być również zamieszana w… atak na Sony Pictures. Pojawiały się także plotki, podsycane przez Lizard Squad, że grupa stała za atakiem DDoS na sieć Korei Północnej. W zasadzie chyba nie przypisano jej tylko odpowiedzialności za suszę w Kaliforni. Dzisiaj swoje trzy grosze do sprawy dorzucił Kim Dotcom, który rzekomo przekupił członków grupy garścią kuponów do swojego serwisu Mega, by zaprzestali ataków na PlayStation Network oraz Xbox Live.

Skutek działania grupy

Skutek działania grupy

Atak na sieć Tor

Dzisiaj grupa ogłosiła, ze zaprzestaje ataków na serwery gier i skoncentruje się na sieci Tor.

Od kilku godzin w sieci Tor pojawiają się tysiące węzłów o charakterystycznej nazwie LizardNSA*, utrzymywanych w chmurze Google (w pewnym momencie było ich ponad 3300). Z uwagi na istniejące ryzyko udanego ataku Sybil (zestawienia takiej trasy, której wszystkie 3 węzły znajdują się w rękach jednego atakującego) węzły te obecnie są oznaczane jako niezaufane (BadExit).

Fragment listy podejrzanych węzłów

Fragment listy podejrzanych węzłów

Jednocześnie nie ma powodów do niepokoju – z uwagi na prawdopodobieństwo wyboru danego węzła zależne od jego stażu w sieci i przepustowości obecnie szanse trafienia na węzeł Lizard Squad są na poziomie:

  • wyjściowy: 0.0368%
  • środkowy: 0.7272%
  • wejściowy: 0.0431%

zatem trudno mówić o realnym ryzyku. Wkrótce wszystkie węzły Lizard Squad zostaną umieszczone na czarnej liście, tymczasem jeśli ktoś obawia się ataku to wystarczy, że do konfiguracji Tora dopisze

ExcludeNodes US
StrictNodes 1

Wygląda na to, ze Lizard Squad dostarczy nam jeszcze trochę rozrywki w najbliższym czasie.

Aktualizacja 2014.12.27

O grupie pisze również Brian Krebs, bloger który rzekomo bywa ich ofiarą. Jego zdaniem grupa jest silnie powiązana z forum Darkode i ostatnio do ataków wykorzystuje dużą liczbę serwerów WWW działających pod kontrolą IIS. W trakcie ataków na swoją witrynę Krebs ustalił, że większość atakujących serwerów znajduje się w Wietnamie, Indiach oraz na Tajwanie, ale trafiają się także maszyny z sieci takich firm jak Adobe, Cisco, KPMG czy Sony. Atak najczęściej występuje w warstwie 7 a atakujące boty udają zwykłe przeglądarki.