Những kẻ tấn công mua các trung tâm dữ liệu của riêng mình cho các Botnet, Spam

AttackersBuying Own Data Centers for Botnets, Spam

December 21, 2009, 1:04PM

by Dennis Fisher

Theo:http://threatpost.com/en_us/blogs/attackers-buying-own-data-centers-botnets-spam-122109

Bài được đưa lênInternet ngày: 21/12/2009

Lờingười dịch: Cùng với sự cạn kiệt các không gian địachỉ IP của Ipv4, bọn tội phạm không gian mạng lại đangmua những khối lớn không gian IP để sử dụng tạo racác botnet và đánh spam càng làm cho việc kiểm soát khônggian IP trở nên ngày một khó khăn hơn.

Những người viếtcác phần mềm độc hại và bọn tội phạm mà quản lýcác botnet nhiều năm đã và đang sử dụng các nền tảnghosting chia sẻ và cái gọi là các nhà cung cấp hosting làmbằng chứng bằng đạn như những cơ sở của các hoạtđộng cho những tội ác trực tuyến của họ. Nhưng khicác cơ quan tăng cường pháp luật và các chuyên gia anninh đã chuyển sang nắm các nhà cung cấp này một cáchphi trực tuyến, thì bọn tội phạm đã thực hiện bướctiếp theo và đã bắt đầu thiết lập những trung tâm dữliệu ảo của riêng bọn chúng.

Sự phân bố khônggian địa chỉ IP được quản lý bởi 5 nhà đăng kýInternet vùng (RIR), mỗi nơi này có trách nhiệm cho mộtnhóm cụ thể các quốc gia nào đó. Các RIR làm việc vớicác doanh nghiệp lớn, các nhà cung cấp dịch vụ Internet(ISP), các tổ chức mà họ cần các khối không gian địachỉ IP lớn. Những tổ chức này thường phải đi qua mộtứng dụng và một quá trình chiếu để có được cácphân bổ này, bao gồm cả việc liệt kê các tài liệupháp lý cho các nhân viên của công ty, việc kinh doanh củanó và vì sao không gian địa chỉ là cần thiết.

Và đó là cách mà nóđã hỗ trợ để làm việc ở mọi nơi. Những ứng viênmà không thể chỉ ra một nhu cầu cho không gian IP sẽđược nói một cách lịch sự để ra đi. Nhưng trong mộtsố trường hợp, bọn tội phạm đã tìm được mộtcách quanh điều này bằng việc đi qua các đăng kýInternet bản địa (LIR) hoặc bằng việc lợi dụng cácRIR mà không có các tài nguyên để điều tra mỗi ứngdụng đầy đủ như họ muốn.

Bọn tội phạm sẽmua các máy chủ và đặt chúng vào một trung tâm dữ liệulớn và sau đó đệ trình một đề xuất cho một khốilớn các không gian IP. Trong một số trường hợp, nhữngứng viên này không bị yêu cầu gì hơn là một bức thưgiải thích vì sao họ cần không gian IP, các nhà nghiêncứu về an ninh nói. Không có sự thanh tra tiếp theo nàođược thực hiện, và một khi bọn tội phạm có đượckhông gian IP, chúng sẽ lấy một lớp các vấn đề tiềmtàng ra khỏi sự cân bằng.

“Hoàn toàn nằmngoài tầm tay. Bọn xấu đang đi tới một số nhà đăngký bản địa tại châu Âu và lấy một số lượng khổnglồ các không gian IP và sau đó chúng chỉ đi tới mộtnhà cung cấp dịch vụ Internet và thiết lập các trung tâmdữ liệu riêng của bọn chúng”, Alex Lanstein, nhà nghiêncứu cao cấp về an ninh tại FireEye, một nhà cung cấpchống phần mềm độc hại và chống botnet, nói.

Themalware writers and criminals who run botnets for years have beenusing shared hosting platforms and so-called bulletproof hostingproviders as bases of operations for their online crimes. But, as lawenforcement agencies and security experts have moved to take theseproviders offline, the criminals have taken the next step and begunsetting up their own virtual data centers.

IPaddress space allocation is handled by five regional Internetregistries (RIR), each of which is responsible for a particular groupof countries. The RIRs work with large enterprises, ISPs, telecomsand other organizations that need large blocks of IP space. Theseorganizations typically have to go through an application andscreening process in order to get these allocations, includingproviding legal documentation listing the officers of the company,its business and why the address space is needed.

Andthat's the way it's supposed to work everywhe-re. Applicants who can'tshow a need for the IP space are told politely to take a walk. But insome cases, criminals have found a way around this by going throughlocal Internet registries (LIR) or by taking advantage of RIRs thatdon't have the resources to investigate every application as fully asthey'd like.

Thecriminals will buy servers and place them in a large data center andthen submit an application for a large block of IP space. In somecases, the applicants are asked for nothing more than a letterexplaining why they need the IP space, security researchers say. Nofurther investigation is done, and once the criminals have the IPspace, they've taken a layer of potential problems out of theequation.

"It'sgotten completely out of hand. The bad guys are going to some localregistries in Europe and getting massive amounts of IP space and thenthey just go to a hosting provider and set up their own datacenters," said Alex Lanstein, senior security researcher atFireEye, an antimalware and anti-botnet vendor. "It takes onemore level out of it: You own your own IP space and you're your ownISP at that point.
“Nếu có một vấn đề nào đó,thì bạn sẽ nói cho ai? Đây là một trò chơi bóng khácbây giờ. Những tên này đang mua cho chúng các trung tâm dữliệu. Những LIR và RIR này sẽ không đẩy ngược lạinếu bạn nói bạn cần /24 hoặc /16. Họ không phải làcảnh sát Internet”, Lanstein nói.

Ví dụ nổi tiếngnhất về điều này là trường hợp Mạng Doanh nghiệpNga (Russian Business Network), trong đó một nhóm tội phạmđã có khả năng có được một số lượng lớn cáckhông gian IP bằng việc sử dụng một LIR để có đượcmột sự phân bổ từ RIPE, RIR châu Âu. LIR đã trao tàiliệu RIPE mà được cho là đã chỉ ra một nhu cầu choviệc phân bổ, và điều đó đã qua được.

“Không thể vào giaiđoạn này trong quá trình đối với RIPE NCC để xác địnhrằng một công ty có liên quan trong hoạt động phi pháp.Thành viên được yêu cầu chứng minh sau đó sẽ là mặttrận đối với RBN”, RIPE nói trong một tuyên bố vềtrường hợp này. Nhưng sự phân bổ đã được thựchiện vào năm 2006 và nó đã không cho tới tháng 05/2008 màRIPE đã có khả năng đóng lại LIR và đưa không gian IPtrở ngược lại.

Trong hầu hết cáckhu vực, một tổ chức yêu cầu một sự phân bổ rộnglớn sẽ phải đi qua một quá trình khá chặt chẽ đểchỉ ra nhu cầu cho không gian địa chỉ. Các nhân viên củaRIR thường sẽ yêu cầu việc liệt kê từng máy mà tổchức này có và có thể đi xa hơn khi yêu cầu các hóađơn mua các máy đó, John Curran, chủ tịch và là CEO củanhà Đăng ký Mỹ về các Số Internet (ARIN), mà là ngườichịu trách nhiệm cho Mỹ, Canada và các phần của vùngCaribê, nói.

“Khi bạn đệ trìnhmột đề xuất cho chúng tôi, một khí nó được chấpnhận thì bạn sẽ có một cuộc gọi từ nhóm của chúngtôi yêu cầu chỉ cho chúng tôi một danh sách các máy tínhcá nhân, các thiết lập cài đặt bộ định tuyến routercủa bạn, có thể cả một bản đồ mạng sao cho chúngtôi có thể chỉ ra nhu cầu cho không gian IP”, Curran nói.“Nếu bạn đã có các PC, thì các số ASN nào chúng có?Tại thời điểm này, nhiều ứng viên sẽ biến mất”.

"Ifthere's a problem, who are you going to talk to? It's a differentball game now. These guys are buying their own data centers. TheseLIRs and RIRs aren't going to push back if you say you need a /24 or/16. They're not the Internet police," Lanstein said.

Themost famous example of this is the RussianBusiness Network case, in which a group of criminals was able toget a large amount of IP space by using an LIR to get an allocationf-rom RIPE, the European RIR. The LIR gave RIPE documentation thatsupposedly showed a need for the allocation, and that's as far as itwent.

"Itis impossible at that stage in the process for the RIPE NCC todetermine that a company is involved in illegal activity. The memberin question later proved to be a front for RBN," RIPE said in astatementon the case. But the allocation was made in 2006 and it wasn'tuntil May 2008 that RIPE was able to close down the LIR and get theIP space back.

Inmost regions, a new organization requesting a large allocation willhave to go through a fairly rigorous process to show the need for theaddress space. The RIR staff often will request a listing of eachmachine the organization has and may go as far as to request purchasereceipts for the machines, as well, said John Curran, president andCEO of the AmericanRegistry for Internet Numbers (ARIN), which is responsible forthe U.S., Canada and parts of the Caribbean.

"Whenyou submit an application to us, once it's been accepted you'll get acall f-rom our group asking to show us a list of PCs, your routerconfigurations, maybe a network map so that wecan show the need forthe IP space," Curran said. "If you already have the PCs,what ASN numbers do they have? At this point, a lot of applicantsdisappear."

Bọn tội phạm phávỡ quá trình này đã trở thành một vấn đề chínhtrong một số vùng, đặc biệt là các phần của châu Âuvà Caribê, nơi có hàng tá các ngôn ngữ khác nhau và quyềntài phán, mà có thể dẫn tới sự lộn xộn và khó khăntrong việc theo dõi chính xác ai đang làm gì trực tuyến,các chuyên gia an ninh nói.

“Có nhiều sự việcnơi mà chúng không đi qua thư chứng minh là đúng”,Lanstein nói. “Có nhiều sự phân bổ IP mà tôi có thểkéo lên và xem các miền và thấy rằng chúng hoàn toànBS. Các trung tâm dữ liệu của Mỹ là tốt hơn nhiều,nhưng tại châu Âu có quá nhiều ngôn ngữ và quốc gia,không thể đối với họ để kiểm tra từng người một.Và bọn xấu biết điều này”.

Việc này đã trởthành một chiến thuật hữu dụng cho bọn tội phạm quảnlý các botnet và spam rộng lớn và các hoạt động bằngthẻ. Những kẻ tấn công mà sở hữu các khối lớnkhông gian IP của chúng có một thời gian dễ dàng hơnnhiều ẩn dấu các hoạt động của chúng hơn so với bọntội phạm mà phải đi qua các ISP hợp pháp hoặc các nhàcung cấp hosting hợp pháp. Không có chỗ để lạm dụngđể kêu, không tài nguyên cho những người muốn tự tìmmình đang bị tấn công bởi một dải cho trước nào đócác địa chỉ IP.

“Các chính sách đểđưa ra không gian IP và kiểm tra những người đằng sauvà việc đề xuất là mang tính toàn cầu, họ đề xuấtcho tất cả các RIP. Nhưng bên trong khung công việc đó,có những chỗ cho RIP cũng để thiết lập các chính sáchbản địa của riêng họ”, Curran nói. “Tin xấu là,những chính sách này rất cục bộ. Làm thế nào ai đóxác minh được một tổ chức khi trong một số vùng họcó thể chỉ viết những hồ sơ và thành phố đó có2000 người? Rất khó ở châu Phi, một số phần ở châuÂu và Caribê. Rất nhiều trường hợp mà những phần củaquá trình của chúng ta là rất khó để triển khai trongnhững vùng khác. Những vùng khác có những cách khác ghinhận làm thế nào một công ty được hình thành và họnhận thức được nhiều cấu trúc không chính thức. Việclưu giữ hồ sơ là tập trung và nó có thể mất mộtkhoảng thời gian để xác định ai đứng đằng sau mộtcông ty”.

Criminalssubverting this process has become a major problem in some regions,particularly parts of Europe and the Caribbean, whe-re there aredozens of jurisdictions and multiple languages, which can lead toconfusion and difficulty in tracking down exactly who is doing whatonline, security experts say.  
"There are a lot ofinstances whe-re they don't go past the letter of justification,"Lanstein said. "There are plenty of IP allocations I can pull upand look at the domains and see that they're total BS. U.S. datacenters are much better, but in Europe there are so many languagesand countries, it's impossible for them to check everyone. And thebad guys know this."

Thisset-up has become a useful tactic for the criminals running botnetsand large spam and carding operations. Attackers who own their ownlarge blocks of IP space have a much easier time hiding theiractivities than do criminals who have to go through legitimate ISPsor hosting providers. There's no abuse desk to complain to, norecourse for people who find themselves being attacked by a givenrange of IP addresses.

"Thepolicies for handing out IP space and verifying the people behind andapplication are global, they apply to all of the RIRs. But withinthat framework, there's room for RIRs to set their own local policiestoo," said Curran. "The bad news is, those policies arevery local. How does someone verify an organization when in someregions they may only have written records and it's a town of 2,000 people? It's very difficult in Africa, parts of Europe, partsof the Caribbean. It's very much the case that parts of our processare very hard to implement in other regions. Other regions havedifferent ways of recording how a company is formed and theyrecognize very informal structures. The record-keeping isdecentralized and it might take a while to determine who is behind acompany."

Và một khi không gianIP đã được phân bổ, thì việc lấy lại nó có thể làmột quá trình lâu và khó khăn. Bọn tội phạm thườngsẽ sử dụng một khối IP chắc chắn nào đó mà nó cànghữu dụng và có lãi càng lâu càng tốt đối với chúng.Nhưng nếu các nhà nghiên cứu về an ninh và các ISO đểý tới hoạt động nghi vấn trong một khối nào đó, thìđôi khi chúng sẽ dừng việc chấp nhận sự giao thông từđó và khóa bất kỳ sự giao thông nào từ các mạng củariêng chúng đối với khối đó. Điều này có thể làmột chiến thuật có hiệu quả, nhưng một khi bọn tộiphạm bỏ qua không gian IP đó, thì nó có thể mất lâuthời gian cho một doanh nghiệp hợp pháp để có khả năngđể cho giao thông chảy lại ở đó một lần nữa.

“Đây là một phầncủa vấn đề mà nó đang gây ra cho khiếm khuyết củaIpv4”, Lanstein nói, tham chiếu tới sự dùng kiệt sắpxảy ra của không gian địa chỉ Ipv4, được dự đoán sẽxảy ra trong vòng ít hơn 2 năm nữa. “Họ sẽ dừng trảtiền, không gian này trở thành không định tuyến đượcvà sau đó nó là một mớ lộn xộn. Sự giả mạo rõràng sẽ có tiếp tục, nhưng ai có thể làm gì đó đượcvề nó?”

Andonce the IP space has been allocated, getting it back can be a longand arduous process. Criminals often will use a certain IP block foras long as it's useful and profitable for them. But if securityresearchers and ISPs notice suspicious activity in a certain block,they will sometimes stop accepting traffic f-rom it and block anytraffic f-rom their own networks to that block. This can be aneffective tactic, but once the criminals abandon the IP space, it cantake a long time for a legitimate business to be able to get trafficflowing there again.

"Thisis part of the problem that's causing the IPv4 shortage,"Lanstein said, referring to the imminent exhaustion of the IPv4address space, forecasted to occur in less than two years. "Theystop paying the bills, the space gets null-routed and then it's amess. There's clear fraud going on, but who can do something aboutit?"

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com