Come l'FBI insegue i cyberattaccanti DDoS

Nel 2016, gli hacker che utilizzavano una rete di dispositivi connessi a Internet compromessi (telecamere di sicurezza e router vulnerabili) hanno bloccato per diverse ore alcuni dei più grandi siti Web di Internet offline.
Quel giorno Twitter, Reddit, GitHub e Spotify sono tutti crollati a intermittenza, vittime di quello che all'epoca era uno dei più grandi attacchi denial-of-service distribuiti della storia.
DDoS è una forma di attacco informatico in cui i malintenzionati inondano i siti Web di traffico dannoso con l'obiettivo di portarli offline.
Gli attacchi DDoS esistevano da anni prima del 2016, ma il fatto che questo incidente abbia bloccato così tanti servizi importanti ha attirato l'attenzione di persone che non sapevano molto di sicurezza informatica.
Da allora, nessun attacco DDoS è mai stato così degno di nota, ma il problema non è scomparso.
Il 15 dicembre 2022, poco prima di Natale, un momento storicamente popolare per lanciare attacchi DDoS, l'FBI ha annunciato di aver rimosso dozzine di siti Web che vendono quelli che vengono chiamati booter o stresser, essenzialmente servizi DDoS a noleggio.
Si tratta di servizi relativamente economici che consentono alle persone con capacità di hacking scarse o nulle di eseguire attacchi DDoS.
Lo stesso giorno, i federali hanno anche annunciato di aver arrestato sette persone che presumibilmente gestivano quei servizi.
Quindi, l'FBI ha preso di mira quei servizi e ha rimosso altri siti di booter a maggio.
Tutte queste operazioni recenti, così come le indagini su Mirai, il malware utilizzato nei famigerati attacchi del 2016, sono state guidate dall'ufficio dell'FBI ad Anchorage.
Mercoledì, Elliott Peterson, uno degli agenti dell'FBI che ha condotto quelle indagini, ha parlato alla conferenza sulla sicurezza informatica Black Hat a Las Vegas.
Peterson, insieme a Cameron Schroeder, un procuratore specializzato in crimini informatici, ha parlato del lavoro alla base delle indagini che hanno portato alle chiusure di Natale e di maggio.
Schroeder ha anche rivelato che è stato lo stesso Peterson a creare le splash page che hanno sostituito i siti sequestrati.
Peterson, che si è concentrato sugli attacchi DDoS per un decennio, si è seduto con TechCrunch giovedì per parlare del suo lavoro perseguendo le persone dietro quei servizi DDoS e identificando quali servizi rimuovere.
Ha spiegato quali sono gli obiettivi delle forze dell'ordine con queste indagini, come sono cambiati gli attacchi DDoS nel corso degli anni, chi sono le persone dietro di loro, La seguente trascrizione è stata modificata per brevità e chiarezza.
TechCrunch: Da quanto tempo state indagando sugli attacchi DDoS? E come sono cambiati gli attacchi DDoS nel tempo? Quindi probabilmente nove o 10 anni.
Ed è cambiato parecchio.
Quando ho iniziato a esaminare il problema, stavamo davvero pensando in termini di servizi di booter o stresser di alto livello, che è dove si trovava gran parte del mercato e gran parte della base di clienti.
E poi, nel bel mezzo di indagini di lavoro su booter e stresser, siamo stati attratti dal mondo delle botnet.
E quindi è stato davvero una specie di questo yo-yo avanti e indietro tra quelle che pensiamo siano le parti più minacciose del panorama DDoS, e poi cercheremo di affrontarlo.
E poi i criminali reagiscono a ciò che facciamo e cambiano, e dobbiamo imparare di nuovo, ed è stato questo tipo di processo costante per circa nove o 10 anni.
Qual è il cambiamento più grande che hai visto negli ultimi 10 anni? Penso in molti modi solo all'espansione dei partner che abbiamo.
Quando abbiamo iniziato, stavamo cercando di lavorare con persone che capissero e si concentrassero su DDoS, e quello era un sottoinsieme davvero piccolo della comunità della sicurezza.
Sento che nel corso degli anni abbiamo avuto molti più partner nel settore privato, nel mondo accademico e nelle forze dell'ordine, abbiamo avuto molte persone veramente interessate al problema.
E forse questo è un po' un pregiudizio dei media, ma mi sembra che a volte ci sia la sensazione che il DDoS sia una specie di problema noioso o un problema che è stato risolto? Oh, no, no, non ti sbagli affatto.
Ci urtiamo contro tutto il tempo.
E ci sono modi in cui è vero.
E ci sono modi in cui enfaticamente non è vero.
Ma se guardi alla natura transitoria e temporanea di alcuni attacchi DDoS, è un problema mentre è in corso e forse è un problema quando l'attacco si ferma.
"In genere, se sei abbastanza grande da essere nelle notizie, inizi a essere sul nostro radar." Elliott Peterson, FBI Se qualcuno ha intenzione solo di interrompere temporaneamente un sito Web o una persona, è un piccolo problema o un grosso problema durante questo, e poi in seguito, potrebbero dimenticare o andare avanti.
Ora, DDoS su una certa scala o volume è un problema completamente diverso.
E così, molte delle persone che affermano che DDoS non è un problema stanno piangendo per le colline quando i loro siti Web sono continuamente inattivi o c'è una minaccia così grande che non esiste un percorso di mitigazione.
Penso che ciò che è unico di ciò che l'FBI Anchorage ha fatto sia che ci siamo davvero concentrati su quel tipo di crimine durante quel periodo.
E ci ha permesso di rispondere molto più rapidamente quando diventa un problema davvero sostenuto.
Ma in termini di volume, è uno dei maggiori problemi di criminalità informatica, ad esempio in termini di frequenza degli attacchi.
Quanto è grande in termini di perdite finanziarie? È più difficile da determinare.
Ci sono casi in cui c'è un'estorsione o una vittima potrebbe pagare una certa somma di denaro.
Ma DDoS ha molti costi indiretti.
Se ricevo continuamente DDoS, molte vittime possono pagare la loro strada al di fuori del potere dell'attaccante, ma ciò aumenta in modo incrementale i costi della larghezza di banda.
È davvero difficile da catturare per noi, credo.
Ma se guardi solo alle dimensioni di alcune delle aziende specializzate nella mitigazione DDoS, ad esempio, hai aziende molto grandi che questo è il loro modello di business.
Quindi, non voglio mettere un cartellino del prezzo su di esso.
Sì, Cloudflare è un'azienda gigante…
Così come Akamai, così come Fastly.
C'è molto di questo.
E ogni ISP avrà piani a cui vengono spinti determinati clienti perché forse è il modo per rimanere al di fuori di determinati servizi DDoS.
Pensiamo che sia una delle cose in cui aumenta la spesa per tutti su Internet, ma è difficile sapere esattamente quanto.
E quindi come scegli chi seguire? È un grosso problema, come scegli le tue battaglie? Una delle cose che penso sia la più eccitante è che abbiamo quella capacità di scegliere, possiamo guardarla e pensarci.
In generale, diamo la priorità ai servizi migliori.
Quindi, chi sta conducendo il maggior numero di attacchi? Chi è in giro da più tempo? Chi ha più clienti? Chi è in grado di condurre gli attacchi più grandi per i servizi di booter stresser? Quando facciamo domande su come ci stiamo concentrando, ad esempio, sulle botnet? È una metodologia simile.
Ma generalmente, se sei abbastanza grande da essere nelle notizie, inizi a essere sul nostro radar.
E poi potremmo fermarci e concentrarci su qualcosa del genere.
Come Mirai di qualche anno fa.
Sì, e quello era un caso di Anchorage dell'FBI.
È un ottimo esempio di tutti che dicono: "Gli attacchi DDoS non contano".
E poi finalmente hai una botnet come Mirai e per un po' il DDoS conta davvero.
Quello era in realtà un caso su cui abbiamo lavorato dall'inizio alla fine ad Anchorage, e fondamentalmente abbiamo utilizzato tutto ciò che avevamo imparato sui servizi di stress del booter e abbiamo fatto perno e affrontato Mirai, e poi siamo tornati a lavorare sui servizi di stress del booter.
Mirai era enorme, ricordo che c'è stato quel giorno in cui Internet è andato giù per alcune o un paio d'ore, il che è pazzesco a pensarci ora.
Qual è l'obiettivo? Ovviamente, catturare criminali, ma è deterrenza? Sta ottenendo l'accesso a criminali di basso livello in modo da poter poi perseguire servizi più grandi? Qual è il pensiero? Penso, in generale, il nostro pensiero è cosa possiamo imparare nel tentativo di ridurre la minaccia di questi servizi che possiamo applicare ad altri tipi di criminalità? Cosa possiamo imparare nella lotta a questi servizi DDoS, sia per rendere Internet più sicuro, ma forse anche per applicarli a ransomware, trojan di accesso remoto o altri tipi di strumenti Internet? Questo è in generale ciò di cui io e Cameron [Schroeder] stavamo cercando di discutere.
Ma pensiamo che sia un problema a cui le persone prestano attenzione solo per un po' di tempo, e pensiamo di avere molto successo concentrandoci su di esso tutto il tempo.
Quanto è stata efficace la deterrenza? Ad un certo punto Schroeder ha affermato che dopo una grande operazione si è verificata una diminuzione del 20% nell'attività DDoS.
Puoi parlarne di più? Diamo valore ai numeri.
Ma poiché possiamo misurare DDoS e poiché possiamo osservare con precisione dove si trova DDoS e seguire le traiettorie, abbiamo una stima che probabilmente la nostra ultima operazione ha visto una riduzione netta del 20% piuttosto sostenuta sul volume di attacchi giornalieri.
Altre operazioni che abbiamo visto meno o più di questo.
Ciò che è bello questa volta è che almeno sembra che sia sostenuto.
Forse una parte della base di clienti potrebbe essere spostata.
E questo è davvero il nostro obiettivo: una combinazione di educare le persone che questo è criminale, ritenere le persone responsabili e cercare di non trovarsi in una posizione in cui i giovani uomini e alcune giovani donne crescono abituati ad avere accesso a questi strumenti.
Perché quando hai avuto accesso al tipo di potenza di fuoco che puoi ottenere per $ 20 al mese – che, tra l'altro, se volessi quel tipo di larghezza di banda, a casa pagheresti $ 250-$ 350 al mese o più – quello che vediamo è che le persone si abituano a questo, quindi continuano a utilizzare questi servizi.
Vorremmo davvero spiegare alle persone che è criminale, non dovrebbero farlo, così possiamo concentrarci su altri problemi di criminalità.
Hai detto che per l'ultimo c'è stato un calo del 20%.
È l'operazione di marzo o di Natale? Erano Natale e marzo.
C'è un'intera sequenza di operazioni che è uscita dopo Natale.
Abbiamo visto una riduzione complessiva di circa il 20% nei volumi di attacco.
Ma speriamo di avere presto dati molto migliori, poiché alcune di queste università lo studiano.
Inseguire i booter sta anche cercando in parte di smantellare le botnet dietro di loro? Per me, sono cose funzionalmente molto diverse, con l'eccezione che abbiamo avuto servizi di avvio che si sono legati a botnet o hanno aggiunto capacità di botnet.
Ma se consideriamo i dispositivi vittima delle botnet, e in generale, quelli stanno conducendo quelli che vengono spesso chiamati attacchi di livello 7, o basati su TCP, e possono essere molto potenti perché puoi fare in modo che la vittima infetta che comprende la botnet, essenzialmente, interagisca con il previsto vittima.
Considerando che la maggior parte delle volte con i booter, stanno conducendo questi attacchi intelligenti in cui stanno ingrandendo i loro dati.
Ma alla fine, è tutto UDP non richiesto.
È solo pura larghezza di banda, può essere filtrata, può essere eliminata.
Le botnet, in generale, sono molto più impegnative.
Li consideriamo come minacce diverse.
Ma capiamo che in un certo senso esistono all'interno della stessa economia criminale.
La differenza è che le botnet tendono ad essere molto più costose.
Hai persone che hanno obiettivi economici criminali più grandi, usano spesso botnet o hai altri casi in cui i servizi di avvio tendono ad essere molto più economici e hanno una clientela diversa.
Immagino sia giusto dire che forse le botnet non sono per i bambini che vogliono interrompere i giochi? Possono esserlo, ma generalmente una botnet è qualcosa che stai usando per interrompere un intero servizio di gioco, diciamo, perché il numero di bot e quindi la capacità di picco disponibile di quei bot non è sempre maggiore di quello che vedresti con un booter ma spesso lo è.
Il caso d'uso diventa leggermente diverso.
Dove spesso vediamo che le botnet hanno successo è che potrebbero abbattere l'intero servizio di gioco e non solo espellere qualcuno da un gioco.
Ora che ne parliamo, ricordo qualche anno fa quando l'intero PlayStation Network andò in tilt, era il giorno di Natale o il giorno dopo Natale.
"La nostra speranza non è arrestare tutti, la nostra speranza è arrestare le persone più problematiche e convincere il resto della gente che questa non è una buona strada".
Elliott Peterson, FBI Sarebbe stato Star Patrol, e c'erano alcuni altri nomi come Lizard Squad.
È stato proprio prima che Mirai decollasse.
Una storia davvero divertente – e lunga per la quale non abbiamo tempo – è che parte dello sviluppo di Mirai è stata guidata dalla concorrenza, perché il gruppo che ha effettuato quegli attacchi di Natale aveva una botnet [Internet of Things] molto efficace.
Entrambi erano consapevoli della stessa vulnerabilità.
E chiunque controllasse quella vulnerabilità, controllava centinaia di migliaia di dispositivi.
In realtà stavano combattendo tra loro per vedere chi sarebbe stato in grado di controllare tutti quei dispositivi.
Questo è in realtà ciò che ha guidato gran parte del progresso che ha reso Mirai così efficace.
A volte pianifichi le tue operazioni in periodi in cui gli attacchi DDoS sono più diffusi, come il Natale, ad esempio nel 2022.
Qual è la motivazione alla base di questo? Esattamente quello che hai descritto.
Hai avuto questa tendenza storica in cui il Natale è il periodo DDoS più intenso per molte ragioni.
Abbiamo iniziato a cercare di far coincidere le operazioni; dove nel vuoto creato dalle nostre chiusure fino a dicembre, DDoS è molto più difficile da fare, perché gli operatori che non sono stati arrestati torneranno a dover ripristinare le loro cose.
Tutti sono generalmente un po' allarmati per quello che cadrà la prossima scarpa.
Ecco perché l'abbiamo cronometrato.
In un certo senso, ci stiamo preparando a competere con il periodo DDoS più intenso.
Potremmo scegliere un momento diverso e forse vedere più di una riduzione, ma ecco perché.
Le banche e altri settori possono diventare davvero nervosi durante il periodo natalizio.
Questo ha cambiato un po' quel panorama.
Manda un messaggio anche ai criminali stessi? Idealmente, quello che stiamo cercando di fare è inviare questo ampio messaggio di deterrenza.
La nostra speranza non è arrestare tutti, la nostra speranza è arrestare le persone più problematiche e convincere il resto della gente che questa non è una buona strada.
E a proposito dei criminali informatici, ieri hai detto che ci sono alcuni presupposti errati su di loro, sia in termini di chi utilizza questi servizi sia di chi li gestisce? Sì, DDoS per me ha un profilo di criminale informatico molto distinto.
In generale, avrai qualcuno con sede in Nord America o in Europa occidentale.
Generalmente comunicano nei giochi, di solito sono giovani maschi adulti, possono essere coinvolti in altri tipi di crimine informatico, ma spesso i DDoS possono essere uno dei tipi più popolari.
Di solito sono adiacenti in qualche modo ai giochi e spesso guadagnano $ 30.000- $ 50.000 a $ 100.000 all'anno, a seconda di quanto sono grandi i loro servizi.
Spesso iniziano forse tra i 16 e i 19 [anni], e quando sono al top del servizio – e li raggiungiamo – hanno tra i 19 e i 25 [anni], di solito, in termini di un profilo.
Non è una brutta moneta per quel tipo di età.
E questo è il problema, giusto? Questo è quello che abbiamo cercato di capire dove hai questo motore economico per il tipo di crimine, rende più difficile allontanare le persone dal servizio.
E quanto sono sofisticati? Perché hai dimostrato che fanno degli errori OPSEC piuttosto brutti.
Direi che a causa del tipo di criminalità e di chi sono i loro clienti, direi che generalmente non sono così sofisticati come potresti considerare alcuni dei cyber attori più tradizionali.
Ma non è nemmeno del tutto giusto, perché i criminali che offrono servizi tendono ad essere più sofisticati dei criminali che consumano i servizi.
Se guardo qualcuno che gestisce un servizio DDoS, di solito sono tecnicamente molto più sofisticati dei loro clienti.
Ma potrebbero non essere molto indietro rispetto a qualcuno che fa un trojan di accesso remoto o qualcuno che fa qualcos'altro, perché in generale, gli strumenti che stanno usando sono stati messi online.
Quindi, per avere successo è spesso necessario un po' di sviluppo web [e] molta esperienza nel servizio clienti.
C'è molto avanti e indietro con i clienti che questi ragazzi devono essere disposti a fare se vogliono fare soldi.
L'FBI discute dei siti DDoS a pagamento alla conferenza sulla sicurezza informatica Black Hat a Las Vegas.
Credito immagine: FBI (fornito) Ieri hai detto che alcune persone non usano nemmeno le VPN.
Puoi parlarne un po' di più? Tonnellate di persone non usano le VPN.
È davvero un'idea sbagliata, penso, nello spazio del crimine informatico che tutti questi attori utilizzino le VPN.
E anche quando usano le VPN, molti attori fortunatamente non comprendono ancora i modi in cui spesso dobbiamo superare le VPN.
Nello spazio del booter, è probabilmente più raro che comune per me vedere l'utilizzo della VPN.
Ma questo non è falso per altri tipi di crimine in cui le persone non pensano di poter essere catturate.
Poiché l'attore utilizza questo servizio criminale e gli è stato detto che non ci sono registri conservati dall'attore criminale, non sente necessariamente la stessa necessità di avere una VPN attiva poiché potrebbe tentare di incassare credenziali da una banca o qualcosa del genere.
Penso che in parte lo sia, esistono in un posto dove pensano di avere già una certa protezione.
E quindi una volta identificato chi cercare, quali sono le prove che stai cercando e come le raccogli? Dipende se cerchiamo clienti o se cerchiamo operatori.
Per gli operatori, come abbiamo spiegato nella presentazione, quello che stiamo cercando di stabilire è che il loro servizio funzioni perché vogliamo concentrare il nostro tempo sulle persone che in realtà stanno davvero facilitando i DDoS in generale? E se il loro servizio funziona, allora faremo domande su chi ha attivato quel servizio, e una volta che inizieremo a stabilirlo, faremo spesso domande sui loro account di comunicazione.
Cosa usano e come comunicano? E la maggior parte delle volte, ci vorranno un periodo di mesi per sapere dove pensiamo che qualcuno si trovi, e poi andiamo a chiedere a un giudice il permesso di andare praticamente a prendere prove da loro e interrogarli.
Ciò avvia questo processo in cui prenderei tutte le prove accumulate e le daremmo a un pubblico ministero, e poi prendono decisioni su come andare avanti.
Quindi è dalla parte della gente.
A che punto decidi di sequestrare e chiudere i servizi? E perché decidi di farlo allora? La cosa divertente di questo caso è che stiamo cercando di fare così tante cose contemporaneamente, che faremo un batch di cose.
Quindi, come la mia indagine, potrei raggruppare domande su un gruppo di attori, ma ovviamente non posso visitare tutti lo stesso giorno.
Potremmo distribuire tutte le nostre ricerche su un periodo di un mese o due mesi.
Ma di solito scegliamo un appuntamento, non solo con noi ma anche con i nostri partner.
A volte non raggiungi quell'appuntamento.
Questo è ciò che è veramente complicato in questo spazio.
Per fare in modo che accadano così tante cose contemporaneamente, come siamo stati in grado di fare, dobbiamo impegnarci per un appuntamento spesso mesi dopo, e ognuno avrà ruoli diversi, e questo aggiunge molta pressione.
L'unica cosa che di solito abbiamo fatto con largo anticipo rispetto a quella data è che siamo pronti, sappiamo chi vogliamo incaricare.
Ma i meccanismi per portare via le cose di servizio sono davvero complicati.
E qualcuno potrebbe cambiare l'hosting una settimana prima che lo facciamo, o qualcos'altro potrebbe cambiare che stiamo rimescolando.
Qual è il ruolo del settore privato nella lotta agli attacchi DDoS? In molti modi, sono in prima linea.
Sono le società di hosting o le società di difesa DDoS che si concentrano davvero su questo.
Fanno un lavoro incredibile per assicurarsi che comprendiamo la scienza e la tecnologia di cui abbiamo bisogno per stare al passo con questo.
Se c'è una nuova tecnica di attacco o un nuovo servizio, spesso ne veniamo a conoscenza per primi.
Ci stanno fornendo le informazioni di cui abbiamo bisogno per prendere decisioni migliori, e questa è stata la maggior parte del ruolo che abbiamo ricoperto con loro.
Ci stanno aiutando a modellare la nostra strategia dandoci un feedback in termini di ciò che pensano funzionerà o meno.
E questa non è necessariamente una domanda su quale servizio seguire, o cosa dovremmo dire a questi attori durante le interviste, ma più come: dovremmo farlo a Natale? A quali protocolli dovremmo dare la priorità per i nostri test di questi servizi? Come possiamo testare questi servizi senza causare troppi danni? Quindi è davvero come uno sport di squadra? Molto, sì.
E quale messaggio manderesti alle vittime di DDoS? Facci sapere.
Facciamo molta consulenza ad Anchorage per le vittime di attacchi DDoS, in particolare per le piattaforme di grandi dimensioni che vengono colpite.
Ci sono modi per segnalarlo.
Non stiamo necessariamente eseguendo rimedi tecnici, ma cerchiamo di aiutare le vittime a capire che si tratta di un attacco a breve termine? È un attacco a lungo termine? Capite le motivazioni dell'attaccante? Perché se sai quali sono le motivazioni dell'aggressore e sai come ti stanno attaccando, possiamo anche aiutarli a capire quanto probabilmente l'aggressore sta pagando per farlo.
Questo può essere importante perché un utente malintenzionato che è abbastanza arrabbiato con un'azienda da avere migliaia di dollari da spendere, lo colloca in una categoria di rischio completamente diversa rispetto a un utente malintenzionato che utilizza un piano economico su un servizio di avvio.
Stiamo incoraggiando le vittime a contattarci.
Se sono vittime di attacchi DDoS, se hanno perso denaro.
Se si tratta di molti attacchi, ci piacerebbe conoscerli e parlare con loro.
Ieri hai detto che non rendi ancora abbastanza difficile la vita agli hacker.
Cosa stanno facendo o faranno in modo diverso andando avanti? La nostra speranza è continuare a imparare come condurre operazioni più efficaci, il che potrebbe significare pezzi più grandi e più mobili, [e] più partner.
La nostra fase successiva è dare un'occhiata molto dura ad alcuni di questi clienti che probabilmente non pensano che abbiamo i dati che abbiamo, e anche passare a includere più clienti e fondamentalmente ritenerli responsabili dei loro attacchi.
Infine, puoi parlarmi della tua esperienza nella realizzazione dei loghi per gli avvisi di sequestro? Riceviamo feedback da alcuni dei nostri partner, in particolare dalle forze dell'ordine internazionali, che hanno molta esperienza con queste chiusure e sequestri.
E quindi sono quelli che dicono, 'ehi, stiamo facendo queste pagine di sequestro blu davvero lisce.' E come, 'no, deve essere rosso, devi comunicare loro visceralmente questa idea di stop.' Sembra semplice, ma come si ottiene uno sfondo su cui tutti sono d'accordo, il cui logo va dove, quanto è grande, e ci sono tutte queste cose divertenti con cui non ti aspetti di avere a che fare, che ci viene chiesto di fare? Perché in realtà non abbiamo un dipartimento di supporto grafico che ci aiuti in gran parte di questo.
Hai messo i cappelli di Natale sui loghi? No, i ricercatori l'hanno fatto.
E onestamente avevo perso una battaglia.
Ho provato a usarlo come logo ufficiale la prossima volta, e mi è stato detto che non potevamo, perché pensavo che sarebbe stato un gesto davvero divertente.
Le autorità statunitensi sequestrano più domini collegati a prolifici siti Web DDoS a noleggio