WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Dịch vụ VPN yêu thích của tội phạm mạng bị ngừng hoạt động
Các cơ quan thực thi pháp luật từ Mỹ, Đức, Hà Lan, Thụy Sĩ, Pháp, cùng Trung tâm tội phạm mạng châu Âu của Europol (EC3) vừa thông báo về việc phối hợp gỡ xuống Safe-Inet, một dịch vụ mạng riêng ảo (VPN) phổ biến được sử dụng để hỗ trợ tội phạm mạng.
Ba miền được đề cập đến - insorg[.]org, safe-inet[.]com và safe-inet[.]net – đã bị đánh sập, cơ sở hạ tầng bị thu giữ trong cuộc điều tra chung có tên “Chiến dịch Nova”.
Europol gọi Safe-Inet là “miền yêu thích” của tội phạm mạng.
Một lý do quan trọng cho việc chiếm giữ các miền này là vai trò trung tâm của chúng trong việc tạo điều kiện để thực hiện các cuộc tấn công ransomware, web-skimming, lừa đảo trực tuyến và chiếm đoạt tài khoản.
Dịch vụ này hỗ trợ tiếng Nga và tiếng Anh và đã hoạt động hơn một thập kỷ, cung cấp “dịch vụ lưu trữ chống đạn” cho khách truy cập trang web, thường ở mức giá cao.
Kể từ ngày 1/12, chi phí đăng ký Pro dao động trong khoảng từ 1,3 đô la/ngày đến 190 đô la/năm để có toàn quyền truy cập vào toàn bộ danh sách máy chủ.
Lưu trữ chống đạn (BPH), còn được gọi là dịch vụ chống lạm dụng, khác với lưu trữ web thông thường ở chỗ cho phép nhà cung cấp nội dung “thỏa hiệp” hơn đối với loại dữ liệu có thể được lưu trữ trên các máy chủ, do đó dễ dàng trốn tránh cơ quan thực thi pháp luật hơn.
Theo một phân tích của Trend Micro vào tháng 10, một máy chủ chống đạn sử dụng nhiều cách khác nhau để duy trì hoạt động của tội phạm mạng và có thể phân bổ nguồn lực một cách chiến lược trên toàn cầu. Chúng có thể giảm thiểu số lượng tệp nhật ký hữu ích và chỉ truy cập hệ thống từ các nguồn ẩn danh như mạng Tor.
“Các hoạt động của nhà cung cấp dịch vụ chống đạn có thể bao gồm việc phớt lờ hoặc tạo cớ để phản hồi các khiếu nại lạm dụng do nạn nhân của khách hàng đưa ra; di chuyển tài khoản và/hoặc dữ liệu khách hàng ọ từ một địa chỉ IP, máy chủ hoặc quốc gia đến một địa chỉ IP, máy chủ hoặc quốc gia khác để tránh bị phát hiện; và không duy trì nhật ký (do đó không có bản ghi cho cơ quan thực thi pháp luật xem xét)”, Bộ Tư pháp Hoa Kỳ (DoJ) cho biết.
Khi làm như vậy, các dịch vụ BPH cố ý hỗ trợ các hoạt động tội phạm của khách hàng và trở thành đồng phạm trong các kế hoạch tội phạm, DoJ cho biết thêm.
Europol cũng cho biết đã xác định được khoảng 250 công ty trên toàn thế giới đang bị tội phạm theo dõi để thực hiện các cuộc tấn công ransomware tiềm năng bằng cách sử dụng cơ sở hạ tầng Safe-Inet.
Ba miền được đề cập đến - insorg[.]org, safe-inet[.]com và safe-inet[.]net – đã bị đánh sập, cơ sở hạ tầng bị thu giữ trong cuộc điều tra chung có tên “Chiến dịch Nova”.
Europol gọi Safe-Inet là “miền yêu thích” của tội phạm mạng.
Một lý do quan trọng cho việc chiếm giữ các miền này là vai trò trung tâm của chúng trong việc tạo điều kiện để thực hiện các cuộc tấn công ransomware, web-skimming, lừa đảo trực tuyến và chiếm đoạt tài khoản.
Dịch vụ này hỗ trợ tiếng Nga và tiếng Anh và đã hoạt động hơn một thập kỷ, cung cấp “dịch vụ lưu trữ chống đạn” cho khách truy cập trang web, thường ở mức giá cao.
Kể từ ngày 1/12, chi phí đăng ký Pro dao động trong khoảng từ 1,3 đô la/ngày đến 190 đô la/năm để có toàn quyền truy cập vào toàn bộ danh sách máy chủ.
Lưu trữ chống đạn (BPH), còn được gọi là dịch vụ chống lạm dụng, khác với lưu trữ web thông thường ở chỗ cho phép nhà cung cấp nội dung “thỏa hiệp” hơn đối với loại dữ liệu có thể được lưu trữ trên các máy chủ, do đó dễ dàng trốn tránh cơ quan thực thi pháp luật hơn.
Theo một phân tích của Trend Micro vào tháng 10, một máy chủ chống đạn sử dụng nhiều cách khác nhau để duy trì hoạt động của tội phạm mạng và có thể phân bổ nguồn lực một cách chiến lược trên toàn cầu. Chúng có thể giảm thiểu số lượng tệp nhật ký hữu ích và chỉ truy cập hệ thống từ các nguồn ẩn danh như mạng Tor.
“Các hoạt động của nhà cung cấp dịch vụ chống đạn có thể bao gồm việc phớt lờ hoặc tạo cớ để phản hồi các khiếu nại lạm dụng do nạn nhân của khách hàng đưa ra; di chuyển tài khoản và/hoặc dữ liệu khách hàng ọ từ một địa chỉ IP, máy chủ hoặc quốc gia đến một địa chỉ IP, máy chủ hoặc quốc gia khác để tránh bị phát hiện; và không duy trì nhật ký (do đó không có bản ghi cho cơ quan thực thi pháp luật xem xét)”, Bộ Tư pháp Hoa Kỳ (DoJ) cho biết.
Khi làm như vậy, các dịch vụ BPH cố ý hỗ trợ các hoạt động tội phạm của khách hàng và trở thành đồng phạm trong các kế hoạch tội phạm, DoJ cho biết thêm.
Europol cũng cho biết đã xác định được khoảng 250 công ty trên toàn thế giới đang bị tội phạm theo dõi để thực hiện các cuộc tấn công ransomware tiềm năng bằng cách sử dụng cơ sở hạ tầng Safe-Inet.
Theo The Hacker News