Хакеры «наживаются» на неактивных IP

27/11/2014 11:11

Фундаментальные пробелы в деятельности регистратора RIPE NCC, по мнению специалистов, позволяют злоумышленникам присваивать «простаивающие» IP-адреса. В дальнейшем они могут быть использованы для рассылки спама, DDoS-атак, мошенничества с трафиком. Способов решения проблемы пока не найдено. Еще в августе этого года исследователь компании Cisco Джейсон Шульц (Jaeson Schultz) опубликовал в блоге информацию о рассылке спама с адресов законопослушных компаний. Сервис SpamCop, составивший и постоянно пополняющий черный список неблагонадежных адресов, зарегистрировал блоки IP, которые числились за одними предприятиями, а на самом деле были присвоены злоумышленниками. Подобная схема стала возможной из-за несовершенства интернет-протокола Border Gateway Protocol (BGP). Неиспользуемые или незаявленные адреса могут быть присвоены хакерами. Система фактически легитимизирует владение этим блоком адресов, и они используются новыми «хозяевами» в криминальных целях. В ноябре 2014 г. история получила продолжение. Известный security-эксперт Брайан Кребс (Brian Krebs) опубликовал результаты расследования конкретной ситуации. Рассылка спама с адресов, принадлежащих ирландскому хостинг-провайдеру, велась через операторов связи Mega Spred и Kandi, зарегистрированных в Болгарии, которые присвоили десятки тысяч IP-адресов поставщиков интернет-услуг по всему миру – в Бразилии, Индии, Китае, Тайване, Вьетнаме, Японии, Мексике и ЮАР. Одним из «пользователей» похищенного диапазона выступал известный спамер из Сан-Диего (США), неоднократно привлекавшийся к ответственности за подобные преступления. Административная неразбериха, царящая в некоторых странах в вопросе закрепления определенных диапазонов IP за конкретными провайдерами, позволяет злоумышленникам использовать этот ресурс в своих целях. По мнению экспертов, этому способствуют фундаментальные проблемы в деятельности регистратора RIPE NCC, отвечающего за распределение адресов в Европе, на Ближнем Востоке и частично в Средней Азии. RIPE допускает владение адресами, которые были похищены у провайдеров, управляемых другими регистраторами, за пределами его территории. При этом происходит дальнейшее распространение и экспорт новых данных в базы, использующиеся для проверки глобальной маршрутизации. По информации антиспам-активиста Рона Гилмета (Ron Guilmette), трудности на сегодняшний день вызывает даже вопрос о том, как отменить присвоение адресов болгарскими операторами, не говоря уже о том, как предотвратить подобное в будущем. В официальном комментарии RIPE, который они дали KrebsOnSecurity, говорится, что проблема находится не на уровне регистратора и неподконтрольна организации. Однако эта позиция вызывает сомнения у специалистов. «Сейчас с данных IP-адресов злоумышленники рассылают спам, – комментирует их дальнейшее применение антивирусный эксперт «Лаборатории Касперского» Юрий Наместников. – Нежелательные письма, отосланные с таких адресов, с большей вероятностью пройдут через фильтры, так как репутация провайдеров, у которых они украдены, хорошая. В принципе, злоумышленники могут проводить с этих адресов DDoS-атаки, либо могут использовать их, чтобы перехватывать трафик».
Источник