HAD!S
کاربر نگاه دانلود
سرویسی که با دریافت مبالغی حملات گسترده DDoS را شکل داد و به سمت وب سایت های سراسر جهان سرازیر می کرد.
این وب سایت از طریق فروش اکانت های ۱۹ تا ۱۹۹ دلاری توانست بیش از ۶۰۰ هزار دلار در طی کمتر از دو سال درآمد داشته باشد و بیش از ۱۵۰ هزار وب سایت را مورد حمله قرار دهد.
اطلاعات دیتابیس vDOS که از طریق یک آسیب پذیری از زیر دامنه api.vdos.com به دست آمده بود توسط KrebsOnSecurity منتشر شد که این خیلی زود توسط کاربران ایرانی به شدت مورد توجه قرار گرفت. وجود نام های ایرانی چه در لیست ترتیب دهندگان این حملات و چه در لیست قربانیان موضوع را جالب تر می کرد.
البته مثل همیشه گمانه زنی های غیر کارشناسی هم به شکل چشم گیری در فضای مجازی گسترش یافت. آروان تلاش کرده است تا با ارائه یک تحلیل اولیه از اطلاعات منتشر شده کمی فضا را روشن تر کند تا بتوان در فرصت آتی ابعاد بیشتری از این موضوع را مورد بررسی قرار دهد.
اطلاعات منتشر شده مربوط به ۱۷۰ هزار حمله صورت گرفته در مدت ۴ ماه (از آپریل تا جولای ۲۰۱۶) را شامل می شود که آروان در تحلیل خود ۱۶۸ هزار حمله را مورد بررسی قرار داده است.
سفارش دهندگان حملات
بر خلاف برخی مطالب منتشر شده از ۱۶۸ هزار حمله تنها نزدیک به هزار حمله توسط ایرانیان (به فرض عدم استفاده از VPN) صورت گرفته است.
در میان قربانیان (وب سایت های مورد حمله قرار گرفته) هم تنها ۵۷۷ حمله به وب سایت های ایرانی شامل ۲۹۳ آی پی متفاوت بوده است.
حملات صورت گرفته به آی پی های ایرانی ها عمدتا توسط ۱۹ کاربر مختلف شکل گرفته است که کاربران زیر هر کدام در بیش از یک حمله شرکت داشته اند:
تعداد حمله نام کاربری
۲۹۷ l8wnl8wn
۹۳ keyvanik
۵۳ zarinpalinc
۴۹ livechatinc
۲۰ alieblise
۱۶ mytechadmin
۱۲ ۳۲۴۵
۸ mk47
۷ safer212
۷ cmaxx
۶ qio111
۳ takenotez
از این بین، کاربران l8wnl8wn ،keyvanik ،livechatinc و zarinpalinc ،alieblise، qio111 و cmaxx به دلیل استفاده از IP ایران و لاگ شدن دقیق زمان استفاده از IP به راحتی قابل پیگیری حقوقی هستند.
قربانیان / اهداف حملات
به ترتیب آدرس های آی پی از کشورهای چین، آمریکا، انگلستان، آلمان و برزیل بیشترین اهداف حملات را شکل داده اند. همان طور که بیان شد ۲۹۳ آی پی ایرانی در این بین دیده می شود.
سرویس های ایرانی که حداقل ۵ بار مورد حمله قرار گرفته اند به ترتیب به شرح زیر هستند: (نام حداقل ۳ هاست اشتراکی حذف شده است)
بیش تر حملات صورت گرفته به ابر آروان توسط ۳ کاربر مختلف به اسم های l8wnl8wn ،*dhp و qio111 صورت گرفته است. از آنجایی که هر ۳ کاربر از ایران به صورت مستقیم به vDOS متصل شده اند به راحتی قابل شناسایی هستند، اما از آنجایی که حملات صورت گرفته بی نتیجه بوده است ابر آروان فعلا برنامه ای برای طرح دعوای حقوقی ندارد.
همچنین قالب این حملات به DNS ابر آروان و از طریق IP های Anycast آروان به آدرس های ۵٫۱۴۵٫۱۱۴٫۰/۲۴ و ۱۸۵٫۱۴۳٫۲۳۲٫۰/۲۲ صورت گرفته، که تماما ناکام بوده است.
جلوگیری از سه سوء تفاهم
و اما چند جمله هم به دوستان عزیزی که این حملات را تدارک دیدند. همان طور که مشخص است به راحتی و با پرداخت کمتر از ۲۰ دلار و حتی در برخی سرویس ها با پرداخت حدود ۴ دلار می توان حملات گسترده ای را به سمت یک وب سایت هدایت کرد. این کار نه نیاز به تخصص دارد و نه دانش فنی. پس در هر حال خیلی افتخار آمیز نخواهد بود.
امیدوارم وقتی در حال سفارش یک حمله ۵ دلاری برای ضربه زدن به اعتبار و تجارت همکارانتان در بازار هستید به این فکر کنید که کار شما به سادگی یک پرداخت چند دلاری است، دامن زدن به این بازار کثیف همه را متضرر خواهد کرد.
این وب سایت از طریق فروش اکانت های ۱۹ تا ۱۹۹ دلاری توانست بیش از ۶۰۰ هزار دلار در طی کمتر از دو سال درآمد داشته باشد و بیش از ۱۵۰ هزار وب سایت را مورد حمله قرار دهد.
اطلاعات دیتابیس vDOS که از طریق یک آسیب پذیری از زیر دامنه api.vdos.com به دست آمده بود توسط KrebsOnSecurity منتشر شد که این خیلی زود توسط کاربران ایرانی به شدت مورد توجه قرار گرفت. وجود نام های ایرانی چه در لیست ترتیب دهندگان این حملات و چه در لیست قربانیان موضوع را جالب تر می کرد.
البته مثل همیشه گمانه زنی های غیر کارشناسی هم به شکل چشم گیری در فضای مجازی گسترش یافت. آروان تلاش کرده است تا با ارائه یک تحلیل اولیه از اطلاعات منتشر شده کمی فضا را روشن تر کند تا بتوان در فرصت آتی ابعاد بیشتری از این موضوع را مورد بررسی قرار دهد.
اطلاعات منتشر شده مربوط به ۱۷۰ هزار حمله صورت گرفته در مدت ۴ ماه (از آپریل تا جولای ۲۰۱۶) را شامل می شود که آروان در تحلیل خود ۱۶۸ هزار حمله را مورد بررسی قرار داده است.
سفارش دهندگان حملات
بر خلاف برخی مطالب منتشر شده از ۱۶۸ هزار حمله تنها نزدیک به هزار حمله توسط ایرانیان (به فرض عدم استفاده از VPN) صورت گرفته است.
در میان قربانیان (وب سایت های مورد حمله قرار گرفته) هم تنها ۵۷۷ حمله به وب سایت های ایرانی شامل ۲۹۳ آی پی متفاوت بوده است.
حملات صورت گرفته به آی پی های ایرانی ها عمدتا توسط ۱۹ کاربر مختلف شکل گرفته است که کاربران زیر هر کدام در بیش از یک حمله شرکت داشته اند:
تعداد حمله نام کاربری
۲۹۷ l8wnl8wn
۹۳ keyvanik
۵۳ zarinpalinc
۴۹ livechatinc
۲۰ alieblise
۱۶ mytechadmin
۱۲ ۳۲۴۵
۸ mk47
۷ safer212
۷ cmaxx
۶ qio111
۳ takenotez
از این بین، کاربران l8wnl8wn ،keyvanik ،livechatinc و zarinpalinc ،alieblise، qio111 و cmaxx به دلیل استفاده از IP ایران و لاگ شدن دقیق زمان استفاده از IP به راحتی قابل پیگیری حقوقی هستند.
قربانیان / اهداف حملات
به ترتیب آدرس های آی پی از کشورهای چین، آمریکا، انگلستان، آلمان و برزیل بیشترین اهداف حملات را شکل داده اند. همان طور که بیان شد ۲۹۳ آی پی ایرانی در این بین دیده می شود.
سرویس های ایرانی که حداقل ۵ بار مورد حمله قرار گرفته اند به ترتیب به شرح زیر هستند: (نام حداقل ۳ هاست اشتراکی حذف شده است)
- میهن دانلود
- ابر آروان
- دیجیکالا
- دانلود ها
- سیبا پال
- فروشگاه خواب شاپ
- گرداب
- آپارات
- گت آرتیکل
- همراه اول
- فایل و تیوی نیکو
- ورزش ۳
بیش تر حملات صورت گرفته به ابر آروان توسط ۳ کاربر مختلف به اسم های l8wnl8wn ،*dhp و qio111 صورت گرفته است. از آنجایی که هر ۳ کاربر از ایران به صورت مستقیم به vDOS متصل شده اند به راحتی قابل شناسایی هستند، اما از آنجایی که حملات صورت گرفته بی نتیجه بوده است ابر آروان فعلا برنامه ای برای طرح دعوای حقوقی ندارد.
همچنین قالب این حملات به DNS ابر آروان و از طریق IP های Anycast آروان به آدرس های ۵٫۱۴۵٫۱۱۴٫۰/۲۴ و ۱۸۵٫۱۴۳٫۲۳۲٫۰/۲۲ صورت گرفته، که تماما ناکام بوده است.
جلوگیری از سه سوء تفاهم
- استخراج این اطلاعات نیاز به دانش فنی پیچیده و یا تکنیک های Forensic ندارد، آروان هم مدعی چنین چیزی نیست، هدف تنها اطلاع رسانی شفاف بوده است.
- برخی از سرویس دهندگان پس از حملات مجبور به تغییر آدرس IP خود شده اند و از آنجایی که حملات به IP های قبلی آن ها لاگ شده است در لیست بیشترین قربانیان قرار نگرفته اند، در حال حاضر دسترسی به تاریخچه IP هر دامنه نیاز به بررسی و وقت بیشتر دارد.
- بر اساس نام های کاربری منتشر شده شتاب زده قضاوت نکنید، به طور مثال تقریبا بیشتر حملات صورت گرفته توسط نام کاربری zarinpalinc به آدرس های IP قدیمی دروازه پرداخت زرین پال صورت گرفته است. زرین پال پس از آن حملات برای محافظت از خود، از سامانه جلوگیری از حملات DDoS ابر آروان استفاده کرد.
و اما چند جمله هم به دوستان عزیزی که این حملات را تدارک دیدند. همان طور که مشخص است به راحتی و با پرداخت کمتر از ۲۰ دلار و حتی در برخی سرویس ها با پرداخت حدود ۴ دلار می توان حملات گسترده ای را به سمت یک وب سایت هدایت کرد. این کار نه نیاز به تخصص دارد و نه دانش فنی. پس در هر حال خیلی افتخار آمیز نخواهد بود.
امیدوارم وقتی در حال سفارش یک حمله ۵ دلاری برای ضربه زدن به اعتبار و تجارت همکارانتان در بازار هستید به این فکر کنید که کار شما به سادگی یک پرداخت چند دلاری است، دامن زدن به این بازار کثیف همه را متضرر خواهد کرد.
