乌克兰内战的灰色地带成为网络犯罪的温床

快讯 作者:HackerEye 2016-12-26 06:28:10
前言 在过去的三周里,针对全球WordPress网站的网络暴力攻击(brute-force attacks,更准确的说法应该是字典攻击)数量几乎翻了一番,根据WordPress的安全公司Wordfence的研究,从11月24日开始,攻击量开始上升,并持续了几周时间。 该公司表示,近六分之一的攻击来源于一个特殊的国家,更特殊的是,其中的大部分攻击来源于一个ISP。 WordPress暴力攻击持续增加 WordFence称在过去的三个周,能看到每天遭受攻击的网站数量几乎翻了一番,下图蓝色虚线表示过去60天被攻击的网站平均数量,绿色表示每天动态的攻击量。 %e4%b9%8c%e5%85%8b%e5%85%b01 在过去60天,我们看到阻止的暴力攻击量明显增加。 %e4%b9%8c%e5%85%8b%e5%85%b02 并且,让我们非常关注的是,来自一些特别IP的攻击量每天都在增加,这种增加是从11月24日开始,并在过去一周大幅增加。 %e4%b9%8c%e5%85%8b%e5%85%b03 现在这个增长远远高于我们的基线。通常我们每天看到大约13000个特别IP的攻击。但是我们现在每天看到的超过了30000个,而且还在不断增加。 谁在对WordPress进行暴力攻击 上面的图表显示了过去两个月的数据。我们现在分析一下过去24小时的攻击,看一看到底是谁正在攻击WordPress网站。 下表列出了过去24小时,按攻击量排序的、攻击全球WordPress的前20个国家。正如你所看到的,乌克兰是发起攻击最多的国家,是目前的罪魁祸首,约有230万次攻击,占了总攻击的15%。而当你知道乌克兰人口只有4500万时,发现这个攻击量太多了。 %e4%b9%8c%e5%85%8b%e5%85%b04 这些攻击,通常都采用暴力登录攻击,基本上没有用到其他复杂的攻击方法,当我们把24小时的攻击次数加在一块,并按IP所属的组织排序时,你可以真正看到乌克兰主机的强大影响。 需要说明的是,有些组织非常庞大,比如GoDaddy,在它上面的WordPress网站实际上占了很大比例。并且在你找那些“不安全的”IP提供者时,你必须考虑他们的规模,处理那些有问题的主机,是需要响应时间的。 %e4%b9%8c%e5%85%8b%e5%85%b05 如上图,攻击量最多的来自于一个小ISP组织,要知道,在乌克兰24小时的230万次暴力攻击中,每天来自这个小组织的,就能检测到超过165万次暴力攻击(brute-force),全都来自于"Pp Sks-lugan"。需要说明的是,和地球上最大的互联网服务提供商或托管公司相比,比如GoDaddy, OVH,这一个小的不能再小的乌克兰ISP公司,直到现在都没有人听说过。但是它的攻击量确如此之大。上图中顶部的两个网络和第三个网络之间的差异是戏剧性的。 并且这其中超过150万次来自下面的8个IP地址,很可能是在一个人的控制下,在24小时中,每个IP大概发起了25万次攻击。 %e4%b9%8c%e5%85%8b%e5%85%b06 在Wordfence公开了他们的发现几天以后,关于这个“顽皮的”的小ISP,乌克兰的用户已经伸出手来提供了很多信息。 该ISP位于乌克兰内战的战场中 一个命名为“Victor P.”的用户,追踪了这个侵权的ISP,原来这个ISP名叫“SKS-Lugan”,在阿尔切夫斯克市已经存在了多年。根据当地的商业指南,这个公司的CEO叫Lizenko Dmitro IgorovichR,SKS-Lugan公司拥有大约16名员工。 此时,乌克兰当局对SKS-Lugan没有任何影响力,因为阿尔切夫斯克市在乌克兰东部,重点是它被亲俄的力量控制着。阿尔切夫斯克市正好位于乌克兰内战的灰色地带。下图中红色箭头处: %e4%b9%8c%e5%85%8b%e5%85%b07 Victor P. 说这个ISP是由俄罗斯控制的,但是他并没有确凿的证据。更有可能的解释是,ISP的所有者,或真正对此事负责的那个人,同意与网络犯罪集团合作,并利用拥有的主机服务器发出了恶意的操作。 该ISP的IP地址已在垃圾邮件黑名单中存在了多年 实际上,分配给SKS-Lugan ISP的在黑名单中的IP,曾参与了大量网络犯罪活动。当前,这个ISP的黑名单IP已经加到了SBL中(spamhaus,它是一个国际性非营利组织,其主要任务是跟踪国际互联网的垃圾邮件团伙,实时黑名单技术,协助执法机构辨别,追查全世界的垃圾邮件,并游说各国政府制订有效的反垃圾邮件法案)。 根据SBL的数据,有些恶意的活动甚至在乌克兰战争开始前就已经发生。看来,最近发现的网络暴力攻击,是一个持续性事件。 该ISP的IP已经从事网络犯罪很长时间 根据SBL,在这个ISP的IP上,存在下面网络犯罪活动,需要说明的是,这只是犯罪活动的一小部分,还有很多: %e4%b9%8c%e5%85%8b%e5%85%b08 是俄罗期人控制了该ISP?不太像! 当俄罗斯总统宣布,俄军队已经参与了乌克兰战争时,俄罗斯不太可能去劫持ISP,并暴力攻击全球的WordPress网站。考虑到这个ISP悠久的网络犯罪活动的历史,SKS-Lugan有可能是一个掩护托管公司,为网络犯罪活动提供庇护。目前,还没有线索显示该ISP与最近大规模传播的“雪崩”恶意软件网络(该网络与一名乌克兰男子有关)有关,该网络目前已被当局关闭。 乌克兰战争造成的混乱,有可能让这些ISP乘机进入那些灰色地带,并从事非法网络犯罪活动。这样做的好处很明显:在这些灰色地带,国际法不重要,也没有警察会去抓他们。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接