Polskie ofiary i użytkownicy serwisu DDoS od Lizard Squad

dodał 20 stycznia 2015 o 14:55 w kategorii DDoS, Włamania  z tagami:
Polskie ofiary i użytkownicy serwisu DDoS od Lizard Squad

Lizard Squad, grupa regularnie atakująca liczne serwery gier, po uzyskaniu odpowiedniego rozgłosu otwarła płatną usługę „DDoS na zamówienie”. Długo nie trwało aż baza jej klientów oraz ataków trafiła do sieci. Są w niej także polskie akcenty.

Miesiąc temu opisywaliśmy poczynania Lizard Squad, która to grupa skutecznie utrudniała funkcjonowanie usług Playstation Network czy Xbox Live. Krótko potem grupa uruchomiła komercyjną usługę pod adresem lizardstresser.su. Można tam było kupować dedykowane ataki z użyciem części infrastruktury Lizard Squad. Kto robił tam zakupy i kogo atakował?

Polskie cele, zagraniczni sprawcy

Dzięki uprzejmości jednego z Czytelników otrzymaliśmy oryginalny zrzut danych z bazy serwisu Lizard Squad. Zawiera on między innymi listę wszystkich przeprowadzonych do tej pory ataków (20 tysięcy pozycji) oraz bazę użytkowników serwisu (kilkanaście tysięcy kont). Przyjrzeliśmy się tym danym, by zidentyfikować przypadki dotyczące naszego kraju.

Na liście celów wśród tysięcy adresów IP znajduje się kilkanaście powiązanych z polskimi domenami lub należących do polskich firm. Kilka z nich to serwery gier takich jaki Tibia, Minecraft czy BF3, jednak większość, bo aż 11, to serwery IP należące do firmy HosTeam.pl. Są tam zarówno adresy serwerów jak i infrastruktury sieciowej.

Choć ataki na HosTeam zamawiane były z kont trzech różnych użytkowników, to jeden wyróżniał się wytrwałością. W dniach od 4 do 10 stycznia 2015 ponad 400 ataków zamówił ktoś kryjący się pod pseudonimem invader359 i posługujący się adresem email srizwan@osetec.com. Szybkie wyszukiwanie w Google wskazuje na niejakiego Shaheera Rizwana, prowadzącego firmę Osetec zajmującą się projektowaniem serwisów WWW. Czym HosTeam lub jego klient naraził się Shaheerowi tak, że ten postanowił wydać trochę bitcoinów na utrudnienie innym życia?

Z odpowiedzią na to pytanie pospieszył Bartosz z HosTeamu, który zidentyfikował atakowane serwisy jako serwery Tibii, Metinu i Teamspeaka. Bartosz poinformował także, że ataki nie zakłóciły działania sieci a klienci, którzy wykupili usługę filtrowania niepożądanego ruchu nie odczuli w ogóle ataków. Ataki prawdopodobnie są zwykłymi czynami nieuczciwej konkurencji, prowadzonymi przez sfrustrowanych nastolatków, którzy chcą przejąć użytkowników innego serwera gier.

Nasi tu byli

Polskich śladów nie zabrakło również w bazie użytkowników. Nie sprawdzaliśmy geolokalizacji adresów IP ostatniego logowania, ale samo przeszukanie pod kątem adresów poczty elektronicznej w domenie .pl wystarczyło, by zidentyfikować garść rodaków. Skąd mamy pewność, że to Polacy? Otóż hasła w bazie przechowywane były otwartym tekstem, zatem jeśli ktoś ma adres w polskiej domenie i polskie hasło to możemy być prawie pewni, że nie udaje.

Polscy użytkownicy w bazie

Polscy użytkownicy w bazie

Pobieżna weryfikacja nie wykazała, by którykolwiek z polskich użytkowników zamawiał jakieś ataki. Zakładamy jednak, że uproszczona metoda weryfikacji mogła pominąć większość kont Polaków korzystających z adresów poczty elektronicznej w innych domenach niż krajowe.

Jeśli interesuje Was analiza całej zawartości bazy, to polecamy artykuł Ars Technica. Jeśli zaś mieliście konto na lizardstresser.su i używaliście tego samego hasła do poczty, to bardzo nam Was szkoda.