【国际资讯】乌克兰内战的灰色地带成为网络犯罪的温床

翻译: pwn_361

预估稿费:180RMB(不服你也来投稿啊!)

投稿方式:发送邮件至 linwei#360.cn ,或登陆网页版在线投稿

前言

在过去的三周里,针对全球 WordPress网站 的网络暴力攻击(brute-force attacks,更准确的说法应该是 字典攻击 ) 数量几乎翻了一番,根据WordPress的安全公司Wordfence的研究,从11月24日开始,攻击量开始上升,并持续了几周时间。

该公司表示,近六分之一的攻击来源于一个特殊的国家,更特殊的是,其中的大部分攻击来源于一个ISP。

WordPress暴力攻击持续增加

WordFence称在过去的三个周,能看到每天遭受攻击的网站数量几乎翻了一番,下图蓝色虚线表示过去60天被攻击的网站平均数量,绿色表示每天动态的攻击量。

在过去60天,我们看到阻止的暴力攻击量明显增加。

并且,让我们非常关注的是,来自一些特别IP的攻击量每天都在增加,这种增加是从11月24日开始,并在过去一周大幅增加。

现在这个增长远远高于我们的基线。通常我们每天看到大约13000个特别IP的攻击。但是我们现在每天看到的超过了30000个,而且还在不断增加。

谁在对WordPress进行暴力攻击

上面的图表显示了过去两个月的数据。我们现在分析一下过去24小时的攻击,看一看到底是谁正在攻击 WordPress网站。

下表列出了过去24小时,按攻击量排序的、攻击全球WordPress的前20个国家。正如你所看到的, 乌克兰是发起攻击最多的国家,是目前的罪魁祸首, 约有230万次攻击,占了总攻击的15%。而当你知道乌克兰人口只有4500万时,发现这个攻击量太多了。

这些攻击,通常都采用 暴力登录攻击 ,基本上没有用到其他复杂的攻击方法,当我们把24小时的攻击次数加在一块,并按IP所属的组织排序时,你可以真正看到乌克兰主机的强大影响。

需要说明的是,有些组织非常庞大,比如GoDaddy,在它上面的WordPress网站实际上占了很大比例。并且在你找那些“不安全的”IP提供者时,你必须考虑他们的规模,处理那些有问题的主机,是需要响应时间的。

如上图, 攻击量最多的来自于一个小ISP组织 ,要知道,在乌克兰24小时的230万次暴力攻击中,每天来自这个小组织的,就能检测到超过165万次暴力攻击(brute-force),全都来自于"Pp Sks-lugan"。需要说明的是,和地球上最大的互联网服务提供商或托管公司相比,比如GoDaddy, OVH,这一个小的不能再小的乌克兰ISP公司,直到现在都没有人听说过。但是它的攻击量确如此之大。上图中顶部的两个网络和第三个网络之间的差异是戏剧性的。

并且这其中超过150万次来自下面的8个IP地址,很可能是在一个人的控制下,在24小时中,每个IP大概发起了25万次攻击。

在Wordfence公开了他们的发现几天以后,关于这个“顽皮的”的小ISP,乌克兰的用户已经伸出手来提供了很多信息。

该ISP位于乌克兰内战的战场中

一个命名为“Victor P.”的用户 ,追踪了这个侵权的ISP,原来这个ISP名叫“SKS-Lugan”,在阿尔切夫斯克市已经存在了多年。 根据 当地的商业指南 ,这个公司的CEO叫Lizenko Dmitro IgorovichR,SKS-Lugan公司拥有大约16名员工。

此时,乌克兰当局对SKS-Lugan没有任何影响力,因为阿尔切夫斯克市在乌克兰东部,重点是它被亲俄的力量控制着。 阿尔切夫斯克市正好位于乌克兰内战的灰色地带。下图中红色箭头处:

Victor P. 说这个ISP是由俄罗斯控制的,但是他并没有确凿的证据。 更有可能的解释是,ISP的所有者,或真正对此事负责的那个人,同意与网络犯罪集团合作,并利用拥有的主机服务器发出了恶意的操作。

该ISP的IP地址已在垃圾邮件黑名单中存在了多年

实际上,分配给SKS-Lugan ISP的在黑名单中的IP,曾参与了大量网络犯罪活动。 当前,这个ISP的黑名单IP已经加到了SBL中( spamhaus ,它是一个国际性非营利组织,其主要任务是跟踪国际互联网的垃圾邮件团伙,实时黑名单技术,协助执法机构辨别,追查全世界的垃圾邮件,并游说各国政府制订有效的反垃圾邮件法案)。

根据SBL的数据,有些恶意的活动甚至在乌克兰战争开始前就已经发生。看来,最近发现的网络暴力攻击,是一个持续性事件。

该ISP的IP已经从事网络犯罪很长时间

根据SBL,在这个ISP的IP上,存在下面网络犯罪活动,需要说明的是,这只是犯罪活动的一小部分,还有很多:

是俄罗期人控制了该ISP?不太像!

当俄罗斯总统宣布,俄军队已经 参与了乌克兰战争 时,俄罗斯不太可能去劫持ISP,并暴力攻击全球的WordPress网站。 考虑到这个ISP悠久的网络犯罪活动的历史,SKS-Lugan有可能是一个掩护托管公司,为网络犯罪活动提供庇护。 目前,还没有线索显示该ISP与最近大规模传播的“雪崩”恶意软件网络(该网络与一名乌克兰男子有关)有关,该网络目前已被当局关闭。

乌克兰战争造成的混乱,有可能让这些ISP乘机进入那些灰色地带,并从事非法网络犯罪活动。这样做的好处很明显:在这些灰色地带,国际法不重要,也没有警察会去抓他们。

参考链接

https://www.bleepingcomputer.com/news/security/ukrainian-isp-behind-over-1-65mil-daily-brute-force-attacks-on-wordpress-sites/

https://www.wordfence.com/blog/2016/12/who-is-really-behind-ukrainian-brute-force-attacks/

https://www.wordfence.com/blog/2016/12/how-to-protect-against-brute-force-attacks/

  • 版权声明: 本文源自互联网, 于4周前,由整理发表,共 2601字。
  • 原文链接:点此查看原文