пятница, 21 октября 2016 г.

В Ростовской области найдены пострадавшие от хакерской группы vDOS

В сентябре ИБ-эксперт Брайан Кребс опубликовал информацию об утечке базы данных сервиса vDOS, которая содержала ip-адреса заказчиков и их жертв. Я решил выяснить, имеются ли в этой базе ip-адреса Ростовской области. Для этого был собран список ip-адресов Ростовской области и написан скрипт на python, который осуществлял поиск этих ip по базе vDOS.  В результате было найдено 8 ip-адресов, из них четыре, предположительно принадлежащих заказчикам (87.117.12.180, 87.117.13.173, 87.117.15.235, 46.61.32.15), четыре - жертвам (188.114.13.228, 46.41.106.122, 46.61.98.249, 46.41.95.223). Всего была обнаружена 21 запись (см. ниже).

Имена столбцов: `ID`, `Username`, `Action`, `IP`, `Date`, `platform`, `hidden`
16391012,'hukarion','Launched a stress test on 188.114.13.228:443  for 1200 using DNS','5.153.134.125 (UA)','21-05-2016 12:30','Google Chrome v47.5.2526.111 on windows',0

16402262,'Holst','Launched a stress test on 188.127.239.134:80  for 1200 using TCP-AMP','87.117.12.180 (RU)','24-05-2016 09:17','Mozilla Firefox v46.0 on windows',0

16402266,'Holst','Launched a stress test on 188.127.239.134:80  for 1200 using DNS','87.117.12.180 (RU)','24-05-2016 09:18','Mozilla Firefox v46.0 on windows',0

16402268,'Holst','Launched a stress test on 188.127.239.134:80  for 1200 using PORTMAP','87.117.12.180 (RU)','24-05-2016 09:18','Mozilla Firefox v46.0 on windows',0

16402271,'Holst','Launched a stress test on 188.127.239.134:80  for 1200 using ESSYN','87.117.12.180 (RU)','24-05-2016 09:19','Mozilla Firefox v46.0 on windows',0

16402276,'Holst','Launched a stress test on 188.127.239.134:80  for 1200 using xSYN','87.117.12.180 (RU)','24-05-2016 09:19','Mozilla Firefox v46.0 on windows',0

16402282,'Holst','Launched a stress test on 188.127.239.134:3306  for 1200 using ESSYN','87.117.12.180 (RU)','24-05-2016 09:21','Mozilla Firefox v46.0 on windows',0

16390900,'hukarion','Launched a stress test on 46.41.106.122:443  for 1200 using DNS','5.153.134.125 (UA)','21-05-2016 12:04','Google Chrome v47.5.2526.111 on windows',0

16385029,'Holst','Launched a stress test on 90.156.201.68:80  for 1200 using TCP-AMP','87.117.13.173 (RU)','20-05-2016 01:26','Mozilla Firefox v46.0 on windows',0

16385032,'Holst','Launched a stress test on 90.156.201.68:80  for 1200 using TCP-AMP','87.117.13.173 (RU)','20-05-2016 01:27','Mozilla Firefox v46.0 on windows',0

16385034,'Holst','Launched a stress test on 90.156.201.73:80  for 1200 using DNS','87.117.13.173 (RU)','20-05-2016 01:27','Mozilla Firefox v46.0 on windows',0

16385038,'Holst','Launched a stress test on 90.156.201.73:80  for 1200 using PORTMAP','87.117.13.173 (RU)','20-05-2016 01:28','Mozilla Firefox v46.0 on windows',0

16385043,'Holst','Launched a stress test on 90.156.201.73:80  for 1200 using TCP-ACK','87.117.13.173 (RU)','20-05-2016 01:29','Mozilla Firefox v46.0 on windows',0

16385045,'Holst','Launched a stress test on 90.156.201.73:80  for 1200 using ESSYN','87.117.13.173 (RU)','20-05-2016 01:29','Mozilla Firefox v46.0 on windows',0

16385048,'Holst','Launched a stress test on 90.156.201.73:80  for 1200 using xSYN','87.117.13.173 (RU)','20-05-2016 01:29','Mozilla Firefox v46.0 on windows',0

16413439,'Holst','Launched a stress test on 37.140.192.194:80  for 1200 using xSYN','87.117.15.235 (RU)','27-05-2016 03:34','Mozilla Firefox v46.0 on windows',0

16413445,'Holst','Launched a stress test on 37.140.192.194:80  for 1200 using xSYN','87.117.15.235 (RU)','27-05-2016 03:36','Mozilla Firefox v46.0 on windows',0

16390941,'hukarion','Launched a stress test on 46.61.98.249:443  for 1200 using DNS','5.153.134.125 (UA)','21-05-2016 12:15','Google Chrome v47.5.2526.111 on windows',0

16390933,'hukarion','Launched a stress test on 46.41.95.223:443  for 1200 using DNS','5.153.134.125 (UA)','21-05-2016 12:11','Google Chrome v47.5.2526.111 on windows',0

16459704,'Holst','Launched a stress test on 144.76.9.110:80  for 1200 using xSYN','46.61.32.15 (RU)','09-06-2016 03:49','Mozilla Firefox v47.0 on windows',0

16459721,'Holst','Launched a stress test on 46.29.2.56:80  for 1200 using xSYN','46.61.32.15 (RU)','09-06-2016 03:55','Mozilla Firefox v47.0 on windows',0


Далее я попытался выяснить, за какими организациями закреплены указанные выше ip-адреса и привязаны ли к ним какие-либо сайты (искал через Google, Shodan, dns- и whois-сервисы и т.п.). Но, к сожалению, никакой информации найти не удалось, кроме того, 7 ip-адресов уже не подают признаков жизни.

4 комментария:

  1. Круто.
    Кинь пожалуйста ссылочку на саму базу пострадавших от vDOS

    ОтветитьУдалить
  2. https://krebsonsecurity.com/2016/09/israeli-online-attack-service-vdos-earned-600000-in-two-years/ шуточки, вы реально любите корировать, vdos это не Россия объясняю вам.

    ОтветитьУдалить
    Ответы
    1. k8>, не совсем понял Ваш комментарий. Поясните, пожалуйста.

      Удалить