烏克蘭內(nèi)戰(zhàn)的灰色地帶成為網(wǎng)絡(luò)犯罪的溫床
責(zé)編:mhshi |2016-12-26 11:37:28
WordFence稱在過去的三個(gè)周,能看到每天遭受攻擊的網(wǎng)站數(shù)量幾乎翻了一番,下圖藍(lán)色虛線表示過去60天被攻擊的網(wǎng)站平均數(shù)量,綠色表示每天動(dòng)態(tài)的攻擊量。
在過去60天,我們看到阻止的暴力攻擊量明顯增加。
并且,讓我們非常關(guān)注的是,來自一些特別IP的攻擊量每天都在增加,這種增加是從11月24日開始,并在過去一周大幅增加。
現(xiàn)在這個(gè)增長(zhǎng)遠(yuǎn)遠(yuǎn)高于我們的基線。通常我們每天看到大約13000個(gè)特別IP的攻擊。但是我們現(xiàn)在每天看到的超過了30000個(gè),而且還在不斷增加。
誰(shuí)在對(duì)WordPress進(jìn)行暴力攻擊
上面的圖表顯示了過去兩個(gè)月的數(shù)據(jù)。我們現(xiàn)在分析一下過去24小時(shí)的攻擊,看一看到底是誰(shuí)正在攻擊WordPress網(wǎng)站。
下表列出了過去24小時(shí),按攻擊量排序的、攻擊全球WordPress的前20個(gè)國(guó)家。正如你所看到的,烏克蘭是發(fā)起攻擊最多的國(guó)家,是目前的罪魁禍?zhǔn)祝s有230萬(wàn)次攻擊,占了總攻擊的15%。而當(dāng)你知道烏克蘭人口只有4500萬(wàn)時(shí),發(fā)現(xiàn)這個(gè)攻擊量太多了。
這些攻擊,通常都采用暴力登錄攻擊,基本上沒有用到其他復(fù)雜的攻擊方法,當(dāng)我們把24小時(shí)的攻擊次數(shù)加在一塊,并按IP所屬的組織排序時(shí),你可以真正看到烏克蘭主機(jī)的強(qiáng)大影響。
需要說明的是,有些組織非常龐大,比如GoDaddy,在它上面的WordPress網(wǎng)站實(shí)際上占了很大比例。并且在你找那些“不安全的”IP提供者時(shí),你必須考慮他們的規(guī)模,處理那些有問題的主機(jī),是需要響應(yīng)時(shí)間的。
如上圖,攻擊量最多的來自于一個(gè)小ISP組織,要知道,在烏克蘭24小時(shí)的230萬(wàn)次暴力攻擊中,每天來自這個(gè)小組織的,就能檢測(cè)到超過165萬(wàn)次暴力攻擊(brute-force),全都來自于”Pp Sks-lugan”。需要說明的是,和地球上最大的互聯(lián)網(wǎng)服務(wù)提供商或托管公司相比,比如GoDaddy, OVH,這一個(gè)小的不能再小的烏克蘭ISP公司,直到現(xiàn)在都沒有人聽說過。但是它的攻擊量確如此之大。上圖中頂部的兩個(gè)網(wǎng)絡(luò)和第三個(gè)網(wǎng)絡(luò)之間的差異是戲劇性的。
并且這其中超過150萬(wàn)次來自下面的8個(gè)IP地址,很可能是在一個(gè)人的控制下,在24小時(shí)中,每個(gè)IP大概發(fā)起了25萬(wàn)次攻擊。
在Wordfence公開了他們的發(fā)現(xiàn)幾天以后,關(guān)于這個(gè)“頑皮的”的小ISP,烏克蘭的用戶已經(jīng)伸出手來提供了很多信息。
該ISP位于烏克蘭內(nèi)戰(zhàn)的戰(zhàn)場(chǎng)中
一個(gè)命名為“Victor P.”的用戶,追蹤了這個(gè)侵權(quán)的ISP,原來這個(gè)ISP名叫“SKS-Lugan”,在阿爾切夫斯克市已經(jīng)存在了多年。根據(jù)當(dāng)?shù)氐纳虡I(yè)指南,這個(gè)公司的CEO叫Lizenko Dmitro IgorovichR,SKS-Lugan公司擁有大約16名員工。
此時(shí),烏克蘭當(dāng)局對(duì)SKS-Lugan沒有任何影響力,因?yàn)榘柷蟹蛩箍耸性跒蹩颂m東部,重點(diǎn)是它被親俄的力量控制著。阿爾切夫斯克市正好位于烏克蘭內(nèi)戰(zhàn)的灰色地帶。下圖中紅色箭頭處:
Victor P. 說這個(gè)ISP是由俄羅斯控制的,但是他并沒有確鑿的證據(jù)。更有可能的解釋是,ISP的所有者,或真正對(duì)此事負(fù)責(zé)的那個(gè)人,同意與網(wǎng)絡(luò)犯罪集團(tuán)合作,并利用擁有的主機(jī)服務(wù)器發(fā)出了惡意的操作。
該ISP的IP地址已在垃圾郵件黑名單中存在了多年
實(shí)際上,分配給SKS-Lugan ISP的在黑名單中的IP,曾參與了大量網(wǎng)絡(luò)犯罪活動(dòng)。當(dāng)前,這個(gè)ISP的黑名單IP已經(jīng)加到了SBL中(spamhaus,它是一個(gè)國(guó)際性非營(yíng)利組織,其主要任務(wù)是跟蹤國(guó)際互聯(lián)網(wǎng)的垃圾郵件團(tuán)伙,實(shí)時(shí)黑名單技術(shù),協(xié)助執(zhí)法機(jī)構(gòu)辨別,追查全世界的垃圾郵件,并游說各國(guó)政府制訂有效的反垃圾郵件法案)。
根據(jù)SBL的數(shù)據(jù),有些惡意的活動(dòng)甚至在烏克蘭戰(zhàn)爭(zhēng)開始前就已經(jīng)發(fā)生。看來,最近發(fā)現(xiàn)的網(wǎng)絡(luò)暴力攻擊,是一個(gè)持續(xù)性事件。
該ISP的IP已經(jīng)從事網(wǎng)絡(luò)犯罪很長(zhǎng)時(shí)間
根據(jù)SBL,在這個(gè)ISP的IP上,存在下面網(wǎng)絡(luò)犯罪活動(dòng),需要說明的是,這只是犯罪活動(dòng)的一小部分,還有很多:
是俄羅期人控制了該ISP?不太像!
當(dāng)俄羅斯總統(tǒng)宣布,俄軍隊(duì)已經(jīng)參與了烏克蘭戰(zhàn)爭(zhēng)時(shí),俄羅斯不太可能去劫持ISP,并暴力攻擊全球的WordPress網(wǎng)站。考慮到這個(gè)ISP悠久的網(wǎng)絡(luò)犯罪活動(dòng)的歷史,SKS-Lugan有可能是一個(gè)掩護(hù)托管公司,為網(wǎng)絡(luò)犯罪活動(dòng)提供庇護(hù)。目前,還沒有線索顯示該ISP與最近大規(guī)模傳播的“雪崩”惡意軟件網(wǎng)絡(luò)(該網(wǎng)絡(luò)與一名烏克蘭男子有關(guān))有關(guān),該網(wǎng)絡(luò)目前已被當(dāng)局關(guān)閉。
烏克蘭戰(zhàn)爭(zhēng)造成的混亂,有可能讓這些ISP乘機(jī)進(jìn)入那些灰色地帶,并從事非法網(wǎng)絡(luò)犯罪活動(dòng)。這樣做的好處很明顯:在這些灰色地帶,國(guó)際法不重要,也沒有警察會(huì)去抓他們。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧