文章
  • 文章
科技

Cyber​​attack与替代媒体追踪到基于PH的攻击者

发布于2019年3月30日下午4点16分
更新时间:2019年4月2日下午5点31分

菲律宾马尼拉 - 为媒体集团和民间社会组织提供快速反应服务的瑞典非营利性Qurium媒体基金会于3月29日星期五发布 ,详细说明了他们如何评估击中其他媒体集团的分布式拒绝服务(DDoS)攻击在菲律宾。

他们不仅试图解释他们追踪攻击者的过程,他们还详细说明了调查后的步骤,导致缺乏回应,最终似乎迫使的提起诉讼。 IP Converge,Suniway集团公司以及两家公司的特定成员。 (阅读: )

他们发现了什么?

该报告根据该组织的调查结果解释,攻击者是菲律宾人,可能是普通话的普通话,并使用电报的昵称“P4p3r”。

它补充说,虽然大多数攻击都是从所谓的“引导服务”购买的 - 服务让用户付钱让网站遭受DDoS攻击 - 用于控制攻击的网络“似乎是由香港广告宣传的。提供商IP-Converge数据中心公司(AS23930)和香港宽带网络有限公司(AS10103),但实际上是“网络流量隧道”,一种用于隐藏流量来源的特殊类型的VPN(虚拟专用网络)。

攻击者订购并对菲律宾替代媒体组进行攻击的基础设施导致隐藏这些连接的物理路由器,路由器是Suniway Group of Companies Incorporated(一家在香港注册的公司)的基础设施的一部分。菲律宾为菲律宾的中国和菲律宾公司提供“网络支持”。

追踪攻击者

调查开始时,Qurium首先必须找到与攻击相关联的地址,它通过跟踪攻击者(使用VPN启动攻击)来实现。

来自攻击的法医证据表明,攻击者使用NordVPN和“不同类型的VPN服务”,在香港使用IP地址125.252.99.146和61.244.184.133。 在1月份的初步调查期间,攻击者还在1月27日使用Android手机,地址为Globe电信110.54.223.67

调查的下一阶段与确定隐藏网络有关,他们通过查看交通路径并找到额外的跳跃 - 数据包在线发送时所产生的旅行点。 调查最终导致Qurium发现攻击者使用Suniway运营的网络基础设施。

Qurium补充道,“看看他们的网络设置,似乎Suniway专门从事隧道网络流量到香港,从那里到运营中国联通和网络的CDN进入中国103.119.128.0/22。该公司使用Sangfor VPN技术他们的设置。

Qurium还通过测试发现,这些网络是在Suniway的监督下在马尼拉举办的,信息通过私人网络从香港来回传播。 该组添加了IP Converge必须了解Suniway的网络设置,因为它宣布网络125.252.99.0/24,攻击者使用该网络来执行攻击。

该报告还解释说,攻击者似乎还有一个目标电子表格,不止一个人监控攻击。

根据Qurium的调查结果,攻击者使用Telegram的昵称“P4p3r”和帐户“P4perl”使用Telegram来为攻击雇用引导服务。

没有回应,没有关闭

正如许多网络攻击的故事一样,没有简单的解决方案,有时候甚至没有给予关闭的回应。

在提起民事诉讼之前,Qurium在2018年1月开始接触该国的计算机应急响应小组(CERT),特别是网络安全菲律宾CERT(CSPCERT),尽管CSPCERT似乎没有回复。

信息和通信技术部CERT(DICT-CERT)同时在2019年1月15日说,它没有收到来自Qurium的消息。

Qurium说它在2月的最后一周多次向IP Converge员工发送消息。

该小组向IP Converge技术运营总监Sherwin Torres以及他们的互联网响应团队和网络运营中心(NOC)发出了消息,但他们没有回应。 他们还于2月26日向在IP Converge数据中心和云服务部门工作的Christian Villanueva和Cean Archievald Reyes发送了电子邮件,但也未收到回复。

由于网络125.252.99.0/24有假记录,Qurium还于2月26日向亚太网络信息中心发送了消息。

2月27日,他们还向香港宽带网络有限公司发送了一份请求,因此他们可以提交一份关于前缀为61.244.184.0/24的滥用电子邮件,该邮件也参与了攻击,但没有得到回应。

最后,在3月14日,该组织还向George Tardio发送了一条消息。 该组织认为他可能对NCERT-PH负责。 Qurium在3月15日得到了回复,我们没有收到任何请求,然后他们在2月5日,6日和26日“提供了发送给NCERT的3封邮件的日志”,但未收到回复。 - Rappler.com