После публикации в блоге Брайана Кребса в Израиле были арестованы два 18-летних гражданина, которые, по версии следствия, могут быть владельцами сервиса vDOS для осуществления DDoS-атак по запросу.

Итай Хури (Itay Huri) и Ярден Бидани (Yarden Bidani) были задержаны в рамках международной операции ФБР. Их допросили в пятницу и отпустили под залог $10 тыс. на каждого, однако оба останутся под домашним арестом на 10 дней без права использовать Интернет или устройства, способные выходить в Интернет, на протяжении 30 дней.

Сервис для осуществления DDoS-атак по запросу vDOS за последние два года заработал более $600 тыс.; воспользовавшиеся сервисом «клиенты» смогли провести более 150 тыс. DDoS-атак и нарушить работу многочисленных веб-ресурсов.

Взять подозреваемых удалось благодаря утечке из базы данных vDOS, которая кроме этого позволила узнать о десятках тысяч заказчиков атак и их жертвах. Также оба задержанных не прилагали особых усилий для сокрытия своей деятельности, открыто говорили о своих занятиях дидосом и обсуждали атаки на своих страницах в Facebook. Кроме того, vDOS располагал клиентской поддержкой; она была сконфигурирована таким образом, чтобы запросы приходили напрямую на мобильный номер Хури. На этот же номер был зарегистрирован домен, при помощи которого осуществлялось управление сайтом vDOS.

В августе Хури и Бидани опубликовали техническую статью о методах DDoS-атак, которая была размещена на израильском ИТ-ресурсе Digital Whisper, посвященном информационной безопасности. Хури подписал ее своим реальным именем, а также рассказал, что ему 18 лет и он готовится пойти в армию. Его подельник же указал электронный адрес, который также использовал для администрирования vDOS.

С пятницы по настоящее время сайт vDOS не работает. До отключения работу сервиса обеспечивали четыре сервера в Болгарии. Есть сведения, что vDOS сам стал жертвой атаки, называемой «перехват BGP-сессии», и за этим стояла компания BlackConnectSecurity. Основатель и глава последней Брайант Таунсенд (Bryant Townsend) подтвердил, что это так; по его словам, компания нанесла ответный удар, чтобы пресечь массированную атаку мощностью более 200 Гбит/с, продолжавшуюся более шести часов. «Мы сделали это в целях самообороны. Мы просто хотели остановить атаку и выяснить побольше о ботнете, используемом для DDoS», — заявил Таунсенд.

Компания CloudFlare согласилась опубликовать логи атак, совершенных при помощи vDOS за последние четыре месяца, — это малая часть всех атак, так как этот сервис был запущен еще в сентябре 2012 года. Данные содержат ники заказчиков атак в системе vDOS, целевой IP-адрес, метод атаки, IP-адрес пользователя vDoS, дату и время атаки, а также агент пользователя vDOS.

После арестов в Израиле блог KrebsOnSecurity подвергся мощной атаке почти в 140 Гбит/с; в результате ресурс был на короткое время выведен из строя. В каждом пакете содержалось оскорбление. В данный момент атаки на сайт продолжаются.

Категории: DoS-атаки, Кибероборона