» »

SI-CERT pomagal pri lovu na spletnega kriminalca

SI-CERT pomagal pri lovu na spletnega kriminalca

Slo-Tech - Od julija 2007 do marca 2008 je sedaj 47-letni Bruce Raisley izvedel več DDoS napadov na spletni časopis Rolling Stone, ki je objavil članek z naslovom 'To Catch a Predator': The New American Witch Hunt for Dangerous Pedophiles. Poleg tega je napadel še tri druge strani, ki so povzele originalni članek.

Razlog? Ni mu bila všeč vsebina objavljenega članka.

Raisley je bil leta 2004 namreč član vigilantske skupine Perverted Justice, katere člani se v on-line klepetalnicah izdajajo za otroke ter se s starejšimi (domnevnimi pedofili) dogovorijo za srečanje. Na srečanju pa odraslo osebo pričakajo člani skupine, jo fotografirajo, fotografije skupaj s posnetkom on-line pogovora objavijo na spletni strani ter domnevnega pedofila prijavijo oblastem.

Raisley je najprej sodeloval pri lovu na pedofile, nato pa je iz skupine izstopil, saj naj bi eden izmed članov skupine pri izdajanju za mladoletnika uporabljal fotografijo njegovega sina. Postal je goreč nasprotnik skupine, zato se je ustanovitelj skupine Von Erck odločil za maščevanje.

Pričel se je izdajati za žensko Holly. Raisley se je z "njo" zapletel v razmerje in nekega dne sporočil svoji ženi, da jo zapušča zaradi druge. Ko se je nato s Holly dogovoril za srečanje v živo, ga je na letališču pričakal Von Erck, ga fotografiral ter fotografijo objavil skupaj s pripisom: "Danes je Bruce Raisley na letališču z rožami v rokah čakal na žensko za katero se je izkazalo da je v resnici moški. ... Nima več nikogar. Nima več skrivnosti. ... Perverted-Justice.com ne bomo več prenašali groženj in napadov proti nam.".

Rolling Stone je kasneje objavil članek, kjer je na koncu članka omenil ta primer, zaradi česar se je Raisley odločil za DDoS napad.

Pri preiskavi napada pa so preiskovalci ugotovili, da je eden izmed okuženih računalnikov od koder je potekal DDoS napad lociran v Arnes omrežju. Člani SI-CERT so računalnik pregledali in s pomočjo reverznega inženiringa ugotovili, da sta kontrolni strani botnet omrežja dosdragon.com in n9zle.com. Iz kontrolnih točk je botnet omrežje dobivalo ukaze katero spletno stran naj napada, v primeru da sta bili kontrolni točki nedostopni, pa je omrežje napadalo statičen seznam IP naslovov.

FBI je ugotovil, da je z obema strežnikoma upravljal Raisley, v hišni preiskavi pa so marca 2008 našli USB ključ s kopijo zlonamerne programske kode botnet omrežja.

Raisleyu sedaj grozi do 10 let zaporne kazni in četrt milijona denarne kazni, sodni postopek proti njemu pa se bo začel 20. julija.

10 komentarjev

Pyr0Beast ::

Zanimiva povezava samega napada in napadalca.

Še bolj pa me presneča dejanska akcija ISP-ja. Mnogi sploh niso reagirali na opozorila oz. sumljiva dejanja njihovih uporabnikov.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

McLuzo ::

"Postal je goreč nasprotnik skupine, zato se je ustanovitelj skupine Von Erck odločil za maščevanje."
Von Erck se je maščveal Raisleyu zato ker je postal nasprotnik? Mislim WTF? Povrhu tega so oni uporabili kar sliko njegovega sina?! Pa p**** m***** da bi se tudi meni odpelo pa jih poslal v kurac!

blackbfm ::

Člani SI-CERT so računalnik pregledali in s pomočjo reverznega inženiringa ugotovili, da sta kontrolni strani botnet omrežja dosdragon.com in n9zle.com. Iz kontrolnih točk je botnet omrežje dobivalo ukaze katero spletno stran naj napada, v primeru da sta bili kontrolni točki nedostopni, pa je omrežje napadalo statičen seznam IP naslovov.


wau cela znanost:))

Brane2 ::

Kakorkoli že se bo razpletlo sojenje, eno je ziher.

Ti "pedofili" živijo moderno, razgibano in zelo raznoliko spolno življenje.
On the journey of life, I chose the psycho path.

ALT ::

torej so dejansko slovenski racunalnik pregledali?

pa ti lahko kar tako odnesejo racunalnik? glede na to da lastnik racunalnika ni imel veze s tem, kaznivo dejanje je bilo pa v pristojnosti ameriskih sodisc?

BlueRunner ::

Mislim, da je bilo zaporedje sledeče:

1) Računalnik je bil okužen brez vednosti in strinjanja njegovega lastnika.
2) Lastnik računalnika je sprejel pomoč, oziroma je SI-CERT/ARNES omogočil, da so iz računalnika prevzeli podatke in opravili raziskavo škodljivega programa.
3) Zbrane podatke so poslali relevantnim organom v tujini, ki so ukrepali v skladu z njihovimi lastnimi pooblastili.

Tukaj tako verjetno ni bilo niti pod razno govora o nikakršnem odnašanju računalnika, temveč predvsem o pomoči žrtvi zlorabe oziroma računalniškega kriminala, rezultati pa so pripomogli k odkritju kriminalca na drugem koncu planeta.

Glede na to, da so v omrežju ARNES osebe iz izobraževalno raziskovalne sfere, pa sploh ni čudno, da se je našel nekdo, ki ni trdil "moj računalnik pa že ni okužen", ampak je dejansko doumel, da je žrtev kaznivega dejanja in, da lahko pomaga pri razkritju storilcev.

Pohvalno za vse vpletene. Sedaj pa bi bilo potrebno ustanoviti samo še posebno policijsko preiskovalno skupino, ki bi bila sposobna vsaj minimalno pomagati ISP-jem pri pomoči žrtvam kaznivih dejanj, ki jih je trenutno v samo v Sloveniji tam nekje med 10.000 in 20.000. Cel kup teh botov na okuženih računalnikih namreč nadzorujejo in upravljajo tudi slovenski državljani, ki bi jih lahko počasi dosegla roka pravice.

BaToCarx ::

Pa saj je čisto možno da ima ARNES "Honeypot" pcje, tako da ni receno da je bil pc sploh od kake osebe...

Kami ::

Mislim, da je bilo zaporedje sledeče:

1) Računalnik je bil okužen brez vednosti in strinjanja njegovega lastnika.
2) Lastnik računalnika je sprejel pomoč, oziroma je SI-CERT/ARNES omogočil, da so iz računalnika prevzeli podatke in opravili raziskavo škodljivega programa.
3) Zbrane podatke so poslali relevantnim organom v tujini, ki so ukrepali v skladu z njihovimi lastnimi pooblastili.

Tukaj tako verjetno ni bilo niti pod razno govora o nikakršnem odnašanju računalnika, temveč predvsem o pomoči žrtvi zlorabe oziroma računalniškega kriminala, rezultati pa so pripomogli k odkritju kriminalca na drugem koncu planeta.

Glede na to, da so v omrežju ARNES osebe iz izobraževalno raziskovalne sfere, pa sploh ni čudno, da se je našel nekdo, ki ni trdil "moj računalnik pa že ni okužen", ampak je dejansko doumel, da je žrtev kaznivega dejanja in, da lahko pomaga pri razkritju storilcev.

Pohvalno za vse vpletene. Sedaj pa bi bilo potrebno ustanoviti samo še posebno policijsko preiskovalno skupino, ki bi bila sposobna vsaj minimalno pomagati ISP-jem pri pomoči žrtvam kaznivih dejanj, ki jih je trenutno v samo v Sloveniji tam nekje med 10.000 in 20.000. Cel kup teh botov na okuženih računalnikih namreč nadzorujejo in upravljajo tudi slovenski državljani, ki bi jih lahko počasi dosegla roka pravice.


Word, čeprav se mi zdi, da jih je v zadnjem času vse manj.

Ravno pred nekaj tedni sem na enem tujem forumu zasledil uporabnika (med drugim je bil tudi moderator), ki je veselo pošiljal sporočila s povezavo do okužene datoteke.

Ker sem imel nekaj prostega časa sem šel zadevo malo "raziskati".

V bistvu niti ni bilo veliko dela, da sem ugotovil na kateri IRC strežnik in kanal se boti povezujejo, ker je ta "pametnjakovič" uporabljal SDBot-a (to je ena zelo stara varianta "ddos bota", ki se ne uporablja nobenih exploitov za avtomatsko širjenje ter ima naslov IRC strežnika in ime kanala shranjeno kar v raw obliki).

c0dehunter ::

Huhu, tega je precej, vem tudi da "noobi" uporabljajo stare bote, kot je že Kami rekel, le da jih kriptirajo, da so pač "butastim" antivirusem brez hevristike nevidni.

BTW, Kami, tebe se pa spomnem da si mel nek svoj IRC klient al neki podobnega še v tistih cajtih :D
I do not agree with what you have to say,
but I'll defend to the death your right to say it.

poweroff ::

Hehe, Kamija se tudi jaz spomnem iz "underground" časov, samo ne vem točno v kakšni navezi sem naletel nanj. :D

V glavnem, sedaj je pa definitivno fejst fant, ker uporablja Ubuntu. 8-)

Se pa sedaj za resne namene uporablja P2P bote, se pravi bote, ki imajo distribuiran command&control center.
sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Twitter je nedostopen

Oddelek: Informacijska varnost
101325 (1080) M.B.
»

Prva aretacija zaradi božičnega napada DDoS na PSN in Xbox Live

Oddelek: Novice / Varnost
239688 (7416) FireSnake
»

Potek operacije Povračilo (strani: 1 2 )

Oddelek: Novice / Omrežja / internet
8324164 (20945) Jupito
»

SI-CERT pomagal pri lovu na spletnega kriminalca

Oddelek: Novice / Varnost
105248 (4210) poweroff
»

Razbito omrežje 100.000 "zombijev"

Oddelek: Novice / Varnost
485612 (4169) fahrenGONE

Več podobnih tem