Од 4-ти јули, со пауза од неколку дена кога најверојатно напаѓачот пронаоѓаше нов ботнет сервис бидејќи иницијалниот беше оневозможен, IT.mk покрај други македонски сајтови е таргет на DDoS напади. Нападите во овој период кон IT.mk кумулативно стигнаа до скоро 1 милијарда барања, со варирање на индивидуалните напади од 2.500 до 12.000 барања во секунда. Нападите се одвиваат во интервали во текот на целиот ден – меѓутоа не и преку ноќта и започнуваат исклучиво после 08.00 часот наутро. :)

Планираните текстови во серијалот #DDoSадно по првичниот за запознавање со DDoS и текстот за категоризација и типови на DDoS напади, беа детална анатомија на DDoS-от врз IT.mk во периодот од 4-ти јули до 9-ти јули, како и споделување на искуствата, проблемите и грешките со кои се соочивме за време на митигацијата. Но, бидејќи во моментот се преземаат одредени чекори во истрагата во соработка со домашни и странски стручни лица и институции, вклучително и два национални CIRT тимови, од нас беше побарано да ги одложиме планираните текстови во кои ќе откриеме јавно повеќе детали (детали за ботнетот, инволвирани провајдери и сл.) дури трае моменталната фаза на истрагата.
Од таа причина, меѓувремено одлучивме да споделиме една едукативна приказна од 2018-та година која би требало да послужи и како порака до тие што трошат ресурси и време за извршување на DDoS напади (да, веќе има повеќе индикации дека напаѓачот е од локално поднебје) дека оневозможување на нормална работа на компјутерски системи и сервери и нивно попречување е кривично дело, а сериозноста на кривичното дело е паралелна со обемот на штета што нападите ја причинуваат. Кај нас, тоа е регулирано со член 251 од Кривичниот законик.
Како тинејџери од Србија и Хрватска завршија зад решетки овозможувајќи DDoS напади
Приказната за тинејџерите кои овозможувале извршување на DDoS напади кулминира во 2018-та година, кога на вратата на двајцата српски државјани од Прокуљпе и Рума, М.Ј. тогаш 19-годишен , и Д.В. тогаш 21-годишен, ќе чукне српската полиција која акцијата ја извршува во соработка со полициските оддели за борба против високотехнолошки криминал на Холандија, Велика Британија, Хрватска, Канада, САД (ФБИ), Германија, Шпанија, Хонг Конг, Шкотска, Италија и Австралија.
Двајцата тинејџери се обвинети дека продавале услуга која била злоупотребувана за DDoS-ирање на разни сајтови ширум светот. Истата била достапна на доменот WebStresser.org и прикриена како алатка за стрес-тестирање на ресурси.

На сајтот, сервисот бил претставен како еден од најдобрите и најсигурни DDoS алатки на пазарот со кои секој ќе може да го истестира својот сајт за DDoS напад – секако намерно игнорирајќи и не преземајќи никаква одговорност ниту додавање на контролни механизми за една таква алатка да не биде злоупотребувана од страна на корисници.
Третирајќи го бизнисот како легитимен бизнис, тинејџерите од Србија, предводени од колега-тинејџер од Хрватска како администратор и уште двајца неименувани помошници, си ја рекламирале услугата како легитимна и ја препродавале по јавно достапни цени. Па дури користеле и канали како Facebook и YouTube за промоција. Во истиот ден во Хрватска, на 19-годишниот К.Р. во Запрешиќ на врата му се појавила тамошната полиција а набрзо ќе се востанови дека всушност хрватот е основачот на сервисот.

Достапните пакети започнувале од 19 US долари за 1 месец до 102 долари, како и супер планови од 999 кои биле достапни само за премиум корисници на сајтот а наплатата се извршувала во крипто или преку Paypal.

Комплетно игнорантскиот однос, секако намерен, спрема криминалот кој го овозможуваат успеал да ги направи до толку популарни, што нивниот сервис WebStresser.org станал една од најпопуларните алатки за извршување на DDoS напади во периодот 2017-2018 година.
Само во 2018-та година нивниот сервис имал повеќе од 136.000 регистрирани корисници, кои пак таргетирале и DDoS-ирале над 4 милиони домени ширум светот користејќи ги услугите на WebStresser.
Меѓутоа, на darkweb почетоците на Webstresser датираат уште од 2015-та година, каде алатката се продава токму како алатка за извршување на малциозни DDoS напади. Самиот Webstresser, имал и white-label решение преку кое услугите се препродавале и преку други сајтови, а во инфраструктурата која ја користeле за овозможување на нападите не се бирале средства туку се одело на мегаломанско искористување на што е можно повеќе провајдери, ботнети и уреди заразени со малициозни софтвери.

Сите три лица се осудени на повеќегодишни затворски казни, а сајтот и услугите се конфискувани од страна на владините организации кои ја предводеа акцијата.

Алатките за тестирање не се нелегални
Алатките за стрес тестирање на веб сервиси не се нелегални. Таканаречените stresser или booter решенија се валидни алатки за QA и стрес-тестирање на софтвер, веб апликации и сервер инфраструктура. На пример, за времето на пишување на овој текст изгуглавме клучен термин “web stresser” и самиот Google, покрај органските резултати кои ни ги понуди, прикажа и реклами во кои ваквите алатки се рекламираат – а оние што.

Ако посетите еден од сајтовите кои ги рекламираат услугите, ќе го најдете скоро истиот шаблон како на сајтот на WebStresser.org и многуте слични, каде што покрај ветување дека услугата е анонимна, ќе имате и достапен ценовник. Еве еден таков пример:

Според горенаведениот ценовник, за $150 долари/месечно може да добиете пристап до алатката која ќе ви овозможи да извршувате напади тестови во јачина од 80-160 Gbps со времетраење од 7.200 секунди.*
На ова треба да се гледа аналогно како на пиштол. Продажба и поседување на пиштол не е нелегална работа, се дур не направите нешто нелегално со нив. Ист е случајот и со алаткиве – ако истите ги користите за свои потреби и тестирање на апликации во свој домен и инфраструктура, нема да имате проблем. Проблемот настанува кога истите ќе ги злоупотребите за да наштетите и причините штета на други или да оневозможите сервиси.
Прогон и на корисниците на WebStresser.org
Во денешно време, прилично е наивно да се смета дека еден VPN, прокси па дури и Tor ќе ви овозможат комплетна анонимност на централизиран интернет.
Во приказната од 2018 година на WebStresser.org, по апсење на сопствениците на сервисот, полициската акција именувана PowerOff ќе стави зад решетки и стотици други корисници на сервисот.
Секако дека на темава има и понови приказни за слични полициски акции во кои се изгасени сервисите и уапсени актерите, меѓутоа сметаме дека баш оваа приказна е таа која е доста поучна и треба да послужи за лекција, плус е некако блиска геолокациски – особено на оние кои со користење на ваков тип на алатки не малтретираат нас и многу други сајтови веќе 2 недели, безгрижно верувајќи во анонимност на интернет:
п.с. DDoSадно ти е?
*Корекција направена на 03.08.2022 во 17.48 часот – погрешна интерпретација за јачината на нападот, всушност станува збор за времетраење.