Хакеры «наживаются» на неактивных IP

B2BSecurity Маркет
Фундаментальные пробелы в деятельности регистратора RIPE NCC, по мнению специалистов, позволяют злоумышленникам присваивать «простаивающие» IP-адреса. В дальнейшем они могут быть использованы для рассылки спама, DDoS-атак, мошенничества с трафиком. Способов решения проблемы пока не найдено.

Еще в августе этого года исследователь компании Cisco Джейсон Шульц (Jaeson Schultz) опубликовал в блоге информацию о рассылке спама с адресов законопослушных компаний. Сервис SpamCop, составивший и постоянно пополняющий черный список неблагонадежных адресов, зарегистрировал блоки IP, которые числились за одними предприятиями, а на самом деле были присвоены злоумышленниками.

Подобная схема стала возможной из-за несовершенства интернет-протокола Border Gateway Protocol (BGP). Неиспользуемые или незаявленные адреса могут быть присвоены хакерами. Система фактически легитимизирует владение этим блоком адресов, и они используются новыми «хозяевами» в криминальных целях.

В ноябре 2014 г. история получила продолжение. Известный security-эксперт Брайан Кребс (Brian Krebs) опубликовал результаты расследования конкретной ситуации. Рассылка спама с адресов, принадлежащих ирландскому хостинг-провайдеру, велась через операторов связи Mega Spred и Kandi, зарегистрированных в Болгарии, которые присвоили десятки тысяч IP-адресов поставщиков интернет-услуг по всему миру – в Бразилии, Индии, Китае, Тайване, Вьетнаме, Японии, Мексике и ЮАР. Одним из «пользователей» похищенного диапазона выступал известный спамер из Сан-Диего (США), неоднократно привлекавшийся к ответственности за подобные преступления.

Административная неразбериха, царящая в некоторых странах в вопросе закрепления определенных диапазонов IP за конкретными провайдерами, позволяет злоумышленникам использовать этот ресурс в своих целях. По мнению экспертов, этому способствуют фундаментальные проблемы в деятельности регистратора RIPE NCC, отвечающего за распределение адресов в Европе, на Ближнем Востоке и частично в Средней Азии. RIPE допускает владение адресами, которые были похищены у провайдеров, управляемых другими регистраторами, за пределами его территории. При этом происходит дальнейшее распространение и экспорт новых данных в базы, использующиеся для проверки глобальной маршрутизации. По информации антиспам-активиста Рона Гилмета (Ron Guilmette), трудности на сегодняшний день вызывает даже вопрос о том, как отменить присвоение адресов болгарскими операторами, не говоря уже о том, как предотвратить подобное в будущем.

В официальном комментарии RIPE, который они дали KrebsOnSecurity, говорится, что проблема находится не на уровне регистратора и неподконтрольна организации. Однако эта позиция вызывает сомнения у специалистов.

«Сейчас с данных IP-адресов злоумышленники рассылают спам, – комментирует их дальнейшее применение антивирусный эксперт «Лаборатории Касперского» Юрий Наместников. – Нежелательные письма, отосланные с таких адресов, с большей вероятностью пройдут через фильтры, так как репутация провайдеров, у которых они украдены, хорошая. В принципе, злоумышленники могут проводить с этих адресов DDoS-атаки, либо могут использовать их, чтобы перехватывать трафик».

Александр Алешин, старший консультант отдела консалтинга компании «Информзащита», поясняет схему мошенничества с трафиком: «Злоумышленник заключает договор с оператором на услуги местной связи по безлимитному тарифу. При этом он арендует у оператора канал связи, к которому подключает свое оборудование (шлюз), реализующее стык между интернетом и сетью оператора. Далее злоумышленник регистрируется на VoIP-бирже трафика и объявляет о возможности оказания услуг по терминации трафика на сеть. Затем организуется прохождение вызовов посредством сети интернет через указанный шлюз на сеть оператора, который в результате теряет прибыль».

Остановить подобные эпизоды, по мнению Джейсона Шульца, достаточно сложно. Для этого потребуется отслеживание и фильтрация трафика на местах. Пока сети не будут сконфигурированы должным образом, так чтобы препятствовать анонсированию неподконтрольных IP, проблема сохранится.