27.12.2014 | 00:36

Adam Haertle

Kto regularnie wyłącza najpopularniejsze serwery gier i właśnie atakuje Tora

Jeśli jeszcze nie słyszeliście o Lizard Squad, to pewnie dlatego, że nie gracie w sieci. Ta tajemnicza grupa od kilku miesięcy ku rozpaczy użytkowników nęka zaskakująco skutecznymi atakami DDoS serwery PlayStation Network, Xbox Live czy Blizzarda.

Rzadko zdarza się nam pisać o atakach DDoS. Z reguły trudno o nich napisać coś więcej niż to, że miały miejsce. Mało kto dzieli się szczegółami technicznymi od strony atakującego lub broniącego, a same ataki rzadko wiążą się z nowymi technikami wartymi opisania. Jeśli jednak ofiarami regularnych ataków padają największe usługi gier online, to warto przyjrzeć się tematowi, tym bardziej, że ta sama grupa właśnie próbuje atakować Tora.

Seria ataków

O grupie Lizard Squad pierwszy raz zrobiło się głośno w sierpniu tego roku, gdy na skutek jej ataków chwilowo przestały działać serwery kilku gier, a samolot z prezesem jednej z firm musiał awaryjnie lądować. Przygotowując ten artykuł spróbowaliśmy sporządzić krótkie kalendarium ataków:

  • 18 sierpnia – reaktywowane zostaje konto Twittera @LizardSquad założone 29 listopada 2011 i ogłasza pierwszy atak – ofiarą są serwery League of Legends (Riot Games) a chwilę później również RuneScape
  • 19 sierpnia – do listy ofiar dołącza Battle.net Blizzarda
  • 24 sierpnia – skuteczny atak na PlayStation Network przyciąga uwagę mediów. Tego samego dnia Lizard Squad informuje linię lotniczą American Air, że na pokładzie jednego z jej samolotów znajduje się ładunek wybuchowy. Samolot ląduje awaryjnie i okazuje się, że podróżował nim szef Sony Online Entertainment. Lizard Squad kończy dzień atakami na Xbox Live.
  • 27 sierpnia – atak na serwery Twitch (streaming gier) zatrzymany po tym jak na żądanie atakujących kilku graczy publikuje swoje zdjęcia z tekstem „Lizard Squad” wypisanym mazakiem na czole
  • 23 września – ofiarami są serwery Destiny, Call of Duty: Ghosts
  • 23 listopada – tym razem pada na Electronics Art Online (FIFA, Madden, Sims 4)
  • 1 grudnia – atak  na Xbox Live oraz zapowiedź ataków w trakcie świąt Bożego Narodzenia
  • 8 grudnia – atak na PlayStation Network
  • 25/26 grudnia – seria ataków na PlayStation Network oraz Xbox Live wyjątkowo uciążliwa dla graczy, którzy właśnie odpakowali swoje nowe konsole lub gry znalezione pod choinką
  • 27 grudnia – atak na sieć Tor, o którym nieco więcej piszemy poniżej
Skutek działania grupy

Skutek działania grupy

Kontrowersje, bajki i legendy

Jak łatwo zgadnąć działalność grupy szybko przyniosła skutek w postaci dużej rzeszy zwolenników oraz przeciwników. Pierwsze konto na Twitterze było obserwowane przed jego zamknięciem przez ponad 150 tysięcy  użytkowników. Z niezwykłą regularnością w sieci pojawiają się informacje o „zdemaskowaniu” kolejnych członków grupy, powodującym koniec ataków. Grupa oczywiście ignoruje te wieści i przeprowadza kolejne ataki. Członkowie grupy także nie próżnują, grając na amerykańskich gorących tematach i na przykład wychwalając ataki ISIS. Według firmy IntelCrawler grupa moze być również zamieszana w… atak na Sony Pictures. Pojawiały się także plotki, podsycane przez Lizard Squad, że grupa stała za atakiem DDoS na sieć Korei Północnej. W zasadzie chyba nie przypisano jej tylko odpowiedzialności za suszę w Kaliforni. Dzisiaj swoje trzy grosze do sprawy dorzucił Kim Dotcom, który rzekomo przekupił członków grupy garścią kuponów do swojego serwisu Mega, by zaprzestali ataków na PlayStation Network oraz Xbox Live.

Skutek działania grupy

Skutek działania grupy

Atak na sieć Tor

Dzisiaj grupa ogłosiła, ze zaprzestaje ataków na serwery gier i skoncentruje się na sieci Tor.

Od kilku godzin w sieci Tor pojawiają się tysiące węzłów o charakterystycznej nazwie LizardNSA*, utrzymywanych w chmurze Google (w pewnym momencie było ich ponad 3300). Z uwagi na istniejące ryzyko udanego ataku Sybil (zestawienia takiej trasy, której wszystkie 3 węzły znajdują się w rękach jednego atakującego) węzły te obecnie są oznaczane jako niezaufane (BadExit).

Fragment listy podejrzanych węzłów

Fragment listy podejrzanych węzłów

Jednocześnie nie ma powodów do niepokoju – z uwagi na prawdopodobieństwo wyboru danego węzła zależne od jego stażu w sieci i przepustowości obecnie szanse trafienia na węzeł Lizard Squad są na poziomie:

  • wyjściowy: 0.0368%
  • środkowy: 0.7272%
  • wejściowy: 0.0431%

zatem trudno mówić o realnym ryzyku. Wkrótce wszystkie węzły Lizard Squad zostaną umieszczone na czarnej liście, tymczasem jeśli ktoś obawia się ataku to wystarczy, że do konfiguracji Tora dopisze

ExcludeNodes US
StrictNodes 1

Wygląda na to, ze Lizard Squad dostarczy nam jeszcze trochę rozrywki w najbliższym czasie.

Aktualizacja 2014.12.27

O grupie pisze również Brian Krebs, bloger który rzekomo bywa ich ofiarą. Jego zdaniem grupa jest silnie powiązana z forum Darkode i ostatnio do ataków wykorzystuje dużą liczbę serwerów WWW działających pod kontrolą IIS. W trakcie ataków na swoją witrynę Krebs ustalił, że większość atakujących serwerów znajduje się w Wietnamie, Indiach oraz na Tajwanie, ale trafiają się także maszyny z sieci takich firm jak Adobe, Cisco, KPMG czy Sony. Atak najczęściej występuje w warstwie 7 a atakujące boty udają zwykłe przeglądarki.

Powrót

Komentarze

  • 2014.12.27 09:20 Duży Pies

    Lizard Squad, podobnie jak Anonymus, to nieformalna grupa.
    W Sieci każdy może się za nich podać. Jak sprawdzić kto jest prawdziwym Lizard, a kto tylko ich udaje?
    Równie dobrze może to być robota któreś z policji lub służb. Które działają w myśl zasady: „zatrząśnijmy Siecią i zobaczymy co wierzch wypłynie”. Bo prowokacja i dezinformacja to dla nich standardowe działania operacyjne.
    Dla każdej takiej rewelacji należy podchodzić ostrożnie i brać zawsze co najmniej 2 różne alternatywne scenariusze.
    Dziwi mnie atak na Tora, w końcu dla takich grup jak Lizard Squad, ta sieć powinna być błogosławieństwem.

    Odpowiedz
  • 2014.12.27 10:35 steppe

    Ciekawe, kiedy FBI załatwi sobie tam pierwszą wtyczkę, jeśli już nie ma ;)

    Odpowiedz
    • 2014.12.27 10:59 Duży Pies

      FBI może umieścić tam swojego kreta. Ale to nie jest łatwe i nie zawsze jest to możliwe.
      .
      Lepiej zastosować socjotechnikę. FBI same przygotuje „swoją” grupę i zaczną szumieć w Sieci: zrobią markowany atak na czyjąś sieć, deface’a strony, może jakiś mały DoS. Wszystko po to by było o nich głośno. Niech cyfrowe podziemie się o nich dowie, o tej nowej hakerskiej grupie. Niech zechce się do nich przyłączyć… I już was mamy!

      Odpowiedz
  • 2014.12.27 11:04 Andrzej

    „Jednocześnie nie ma powodów do niepokoju – z uwagi na prawdopodobieństwo wyboru danego węzła zależne od jego stażu w sieci…”

    Przez pierwsze 3 dni przepustowość jest niska, rzędu 20 kb/s, jednak potem rośnie i mogą być większe problemy, ryzyko trafienia na taki węzeł wzrasta, dlatego programiści Tora będą je usuwać. Realne ryzyko – zawsze jest.

    Odpowiedz
  • 2014.12.27 11:52 JJJ

    Co to za chmura google? Czy to google app engine?

    Odpowiedz
  • 2014.12.27 12:45 olek

    W sieci TOR Linux rządzi .

    http://torstatus.blutmagie.de/index.php

    Odpowiedz
    • 2014.12.27 21:01 Linuxxx:)

      Windows i TOR to jak przebity kondon

      Odpowiedz
  • 2014.12.27 14:00 hetpol

    Zaraz ale to jest realny atak czy rodzaj pentestu? Bo jaki jest sens atakować coś ogłaszając to wszystkim jeszcze wyraźnie się oznaczać w sieci?:>

    Odpowiedz
    • 2014.12.27 14:58 darek

      Dzieciaki robią to dla rozgłosu, albo co gorsza ktoś przygotowuje grunt pod skrócenie smyczy internautom.

      Odpowiedz
      • 2014.12.28 13:36 Ramon

        Raczej właśnie opcja nr.2 – grupa przejawia tendencje terrorystyczne (i nie sama buba w samolocie, tylko całokształt). Odwalą jeszcze kilka mocniejszych numerów i władze kilku państw (posiadających zasoby, rządzę władzy i określony interes) wpadną na pomysł na genialny pomysł utworzenia oficjalnej formacji utrzymującej spokój i ład w necie, nadając im tym samym nieograniczone uprawnienia.
        To, że się afiszują z 0 day’em świadczy moim zdaniem o tym, że pokazują fuck’a całemu undergrandowi. Zresztą jak poczytacie różne źródła to znajdziecie posty osób, które prawie przysięgają ścigać Lizard’a.

        Odpowiedz
        • 2014.12.28 19:43 JP2@GMD

          >grupa przejawia tendencje terrorystyczne
          śmiechłem chichłem xD

          To zwykły zlepek mentalnej gimbazy, która robi to dla beki (ang. for the lulz). Lizard squad czy jak tam ich zwą to taki kot srający w wentylator – dużo smrodu i niesmaku ale straty żadne.

          Odpowiedz
  • 2014.12.28 22:46 Andrzej

    Tak to zlepek gimbazy w wieku 20 lat, którzy szukają rozgłosu. Nie mniej jednak, taka gimbaza właśnie tak się uczy, co może, czego nie, w przyszłości może być poważniej, więc nie ma co tolerować takich wybryków. Widocznie przestraszyli się „większych” od siebie ( czyt. Anonymous) i jeden z nich dał wywiad przez Skype do SkyNews dzisiaj:

    http://securnet.pl/lizard-squad-atakuje-dla-zabawy/

    Odpowiedz
  • 2014.12.29 11:16 Piotr

    Mnie zastanawia dlaczego MS i Sony nie przygotowało się w jakiś sposób na te ataki. Przecież dobrze o tym wiedzieli, że te dzieci planują coś takiego. Współczuję tym którzy dostali PS albo Xbox na święta i takie rozczarowanie :/

    Odpowiedz
  • 2014.12.29 13:05 slawek

    taki paraliż to dobry przykład ze nalezy nalegać na producentow konsol, aby podłaczenie do sieci było tylko opcją a nie wymogiem do uruchamiania gier….

    Odpowiedz

Zostaw odpowiedź do Linuxxx:)

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Kto regularnie wyłącza najpopularniejsze serwery gier i właśnie atakuje Tora

Komentarze