L'essor des réseaux résidentiels «à l'épreuve des balles» – Krebs sur la sécurité

 – Techniques de Black Hat SEO

L'essor des réseaux résidentiels «à l'épreuve des balles» – Krebs sur la sécurité – Techniques de Black Hat SEO

Temoignage

Voici nos dernières procédés sur: comment faire de l’argent en ligne avec l’education en ligne avec des techniques de Techniques de Black Hat SEO

Les cybercriminels anonymisent de plus en plus leur trafic malveillant en le routant via des connexions de données haut débit et sans fil résidentielles. Traditionnellement, ces connexions étaient principalement des ordinateurs piratés, des téléphones portables ou des routeurs domestiques. Mais cette histoire concerne des «services VPN résidentiels à l'épreuve des balles» qui semblent être construits en achetant ou en acquérant de manière discrète des morceaux d'adresses Internet de certains des plus grands fournisseurs d'accès à Internet et de fournisseurs de données mobiles du monde.

Fin avril 2019, KrebsOnSecurity a reçu des informations de la part d’un détaillant en ligne qui avait été témoin d’un nombre inhabituel de transactions suspectes provenant d’une série d’adresses Internet attribuées à un fournisseur d'accès Internet relativement récent basé dans le Maryland, appelé Réseautique Résidentielle Solutions LLC.

Cela n’est pas inhabituel en soi. pratiquement tous les fournisseurs ont des clients occasionnels qui abusent de leur accès à des fins frauduleuses. Mais à y regarder de plus près, plusieurs facteurs m'ont amené à regarder de plus près cette société, également connue sous le nom de «Resnet. "

Un examen des plages d’adresses IP attribuées à Resnet montre qu’il conserve une impressionnante stabilité de blocs IP – totalisant près de 70 000 adresses IPv4 – dont beaucoup avaient jusqu'à récemment été confiés à quelqu'un d'autre.

Fait intéressant, environ dix pour cent de ces IP – plus de 7 000 d’entre elles – étaient jusqu’à la fin de 2018 sous le contrôle de Mobilité AT & T. De plus, les enregistrements du WHOIS pour chacun de ces blocs de données mobiles suggèrent que Resnet revendait en quelque sorte des services de données pour les principaux fournisseurs de services mobiles et à large bande, notamment: AT & T, Verizon, et Câble Comcast.

Les enregistrements WHOIS de l’un des réseaux associés à Residential Networking Solutions LLC.

Un examen approfondi des étendues d’adresses IP attribuées au réseau principal de Resnet indique que les 7 000 adresses IP mobiles et plus sous le contrôle de Resnet ont reçu l’étiquette «Société de fournisseur de services”- principalement ceux commençant par une adresse IP comprise entre 198.228.x.x.

Une recherche sur Internet révèle que cette plage d'adresses IP est administrée par la WDSPC (Wireless Data Service Provider Corporation), une organisation à but non lucratif créée dans les années 1990 pour gérer les plages d'adresses IP pouvant être distribuées à divers opérateurs de téléphonie mobile autorisés aux États-Unis.

À l'époque de la création du WDSPC, il existait de nombreuses sociétés de données mobiles sans fil. Mais aujourd’hui, la grande majorité de l’espace IP géré par la WDSPC est loué par Mobilité AT & T et Verizon wireless – qui ont progressivement acquis la plupart de leurs fournisseurs concurrents au fil des ans.

Un appel à la WDSPC a révélé que l’organisation à but non lucratif n’avait pas loué de nouvel espace IP de données sans fil depuis plus de 10 ans. C’est-à-dire jusqu’à ce que l’organisation reçoive au début de l’année une communication qu’elle croyait émaner d’AT & T, qui recommandait Resnet en tant que client pouvant occuper certains des blocs d’adresses IP de données mobiles de la société.

"J'ai bien peur que nous ayons été dupés", a déclaré la personne qui répondait au téléphone à la WDSPC, tout en refusant de préciser la nature exacte de la duperie présumée ou du moyen utilisé pour transmettre la recommandation.

AT & T a refusé de discuter de sa relation exacte avec Resnet – ou même s’il en avait jamais eu une pour commencer. Il a répondu à plusieurs questions sur Resnet par une brève déclaration: "Nous avons pris des mesures pour mettre fin aux services de cette société et nous avons renvoyé l'affaire devant les forces de l'ordre."

Pourquoi exactement AT & T voudrait transmettre l'affaire aux forces de l'ordre n'est toujours pas clair. Toutefois, il est courant que les fournisseurs d’hébergement falsifient certains documents dans leur quête d’espace IP supplémentaire, et quiconque est pris ainsi par courrier électronique, par téléphone ou par fax peut être inculpé de fraude électronique, une infraction fédérale passible de 500 000 USD de peines. en amendes et jusqu’à 20 ans de prison.

QU'EST-CE QUE RESNET?

Les enregistrements d’enregistrement WHOIS pour le site Web principal de Resnet, réseautage[.]com, Sont cachés derrière la protection de la vie privée du domaine. Cependant, une recherche Internet rapide sur ce domaine a fourni de nombreuses références à ce sujet. Hackforums[.]net, une communauté tentaculaire qui héberge une offre apparemment interminable de pirates informatiques prometteurs cherchant des moyens abordables et anonymes de monétiser divers programmes de création d’argent en ligne.

Un utilisateur en particulier – un membre de Hackforums qui porte le surnom "Profitvolt”- a passé plusieurs années à annoncer des réseaux sociaux[.]com et un certain nombre de sites et de services associés, y compris des services de données «illimités» AT & T 4G / LTE, et la disponibilité immédiate de plus d'un million d'adresses IP résidentielles qu'il a suggérées étaient «parfaits pour la mise en bouteille, l'achat de chaussures».

L’utilisateur des hackforums «Profitvolt» publie des procurations résidentielles.

Profitvolt présente ses services de données mobiles et résidentiels comme idéaux pour quiconque souhaite exécuter «divers robots» ou «campagnes publicitaires». Ces services sont conçus pour fournir un anonymat lorsque les clients procèdent, par exemple en automatisant des clics publicitaires sur des plates-formes telles que Google adsense et Facebook; générer de nouvelles Pay Pal comptes; l'activité des baskets; attaques de bourrage d'informations d'identification; et différents types de spam sur les réseaux sociaux.

Pour les lecteurs ne connaissant pas ce terme, le terme «botté de chaussure» ou «baskets-baskets» désigne l'utilisation de programmes et de services de bots automatisés qui facilitent l'acquisition rapide de chaussures de créateurs très recherchées, à libération limitée, qui peuvent ensuite être revendues à un prix raisonnable. profit sur les marchés secondaires. Trop souvent, semble-t-il, les personnes qui tirent le plus grand profit de ce programme utilisent plusieurs jeux d’informations d’identité compromises provenant de comptes de consommateurs chez des détaillants en ligne et / ou de données de cartes de paiement volées.

Affirmer que la mise en bouteille de chaussures est devenue une source d’ennui pour les détaillants en ligne et les consommateurs habituels serait un euphémisme majeur: Un récent rapport sur la sécurité Internet (PDF) de Akamai (un annonceur sur ce site) a noté que cette activité de bot automatisée représente maintenant près de la moitié de la bande passante Internet destinée aux détaillants en ligne. La prévalence de la mise en bouteille de chaussures pourrait également aider à expliquer Footlocker«Le récent investissement de 100 millions de dollars dans goat.com, le plus grand marché de revente de chaussures secondaires sur le Web.

Dans d’autres sujets de discussion, Profitvolt annonce qu’il peut louer un «nombre illimité» de «mandataires résidentiels», terme qui décrit des connexions Internet domestiques ou mobiles pouvant être utilisées pour relayer de manière anonyme le trafic Internet de nombreuses transactions douteuses.

Du point de vue des passionnés, l’intérêt du routage du trafic sur des adresses IP résidentielles réside dans le fait que peu d’entreprises en ligne auront la peine de bloquer les activités malveillantes ou suspectes qui en émanent.

En effet, en général, le groupe d'adresses IP attribuées aux connexions sans fil résidentielles ou mobiles se répète d'un utilisateur à l'autre, ce qui signifie qu'une liste noire d'une adresse IP résidentielle pour utilisation abusive ou malveillante peut uniquement servir à bloquer le trafic légitime (et le commerce électronique). de l'utilisateur suivant à qui est assignée cette même adresse IP.

UN PLAN DE BULLETPROOF?

Profitvolt déplore dans une publication récente de Hackforums la disparition prématurée de plusieurs fournisseurs d’hébergement «blindés» au fil des années, de Russian Business Network à Atrivo / Intercage, en passant par McColo, 3FN et Troyak.

Tous ces fournisseurs d'accès Internet avaient un point commun: ils se spécialisaient dans le développement de clients qui utilisaient leurs réseaux à des fins néfastes – de l'exploitation de botnets au spam en passant par le spam et l'hébergement de logiciels malveillants. Ils étaient connus comme «à l'épreuve des balles» parce qu'ils ignoraient généralement les plaintes pour abus, ou attribuaient tout abus signalé à un revendeur de leurs services.

Dans ce post de Hackforums, Profitvolt déplore que "les supports que nous utilisons pour distribuer [are] nous enfermer et rendre la vie inutilement dure. "

«C’est toujours un peu fragmentaire, je ne vais donc pas tout dévoiler, mais je commence actuellement avec un serveur de 32 Go de RAM doté d’une liaison montante de 1 Go dans un pays des Caraïbes», a déclaré Profitvolt aux membres du forum, tout en demandant sur différents forums de Hackforums, s'il existe d'autres utilisateurs de Trinité-et-Tobago, deux îles des Caraïbes, sur le forum.

«Pour être tout à fait honnête, l'objectif est de vérifier jusqu'à quel point nous pouvons étendre la clémence avant que quelqu'un commence à poser des questions ou à recevoir des courriels», a poursuivi Profitvolt.

Profitvolt, un utilisateur de Hackforums, envisage de créer son propre réseau d’hébergement «à toute épreuve», destiné aux autres utilisateurs du forum qui voudront peut-être louer ses services pour une variété d’activités douteuses.

KrebsOnSecurity a commencé à poser des questions à Resnet après être tombé par hasard sur plusieurs indices montrant que cette société permettait différents types d’abus en ligne dans des forfaits mensuels minuscules. Le réseautage du site[.]com semble assez normal en surface, mais un examen des paquets client annoncés sur celui-ci suggère que la société a recherché un type de client très spécifique.

«Pas de conneries, juste des procurations», lit l’une des zones (maintenant cachées ou supprimées) du panier du site. D'autres promotions annoncent l'utilisation de serveurs mandataires résidentiels pour promouvoir des «services de croissance» sur plusieurs plates-formes de médias sociaux, notamment: Craigslist, Facebook, Google, Instagram, Spotify, Soundcloud et Gazouillement.

Resnet collabore ou collabore avec plusieurs autres organisations intéressantes, notamment:

réseau résidentiel[.]com, aussi connu sous le nom "Services de sécurité IAPS”(Anciennement alliance internationale[.]com), qui annonce la vente de VPN résidentiels et de mandataires mobiles 4G / IPv6 destinés à aider les clients à ne pas être bloqués lors de l’automatisation de différents types d’activités, allant de la création massive de médias sociaux et de comptes de messagerie à l’envoi en masse de messages sur des plates-formes telles que WhatsApp et Facebook.

Laksh Cybersecurity and Defence LLC, qui maintient Hexproxy[.]com, un autre service proxy résidentiel qui fait largement appel aux clients impliqués dans l’embouteillage de chaussures.

-Plusieurs morceaux d’espace IP d’un fournisseur russe, connus sous les noms de «SERVERSGET" et "Hommes Danil Valentinovich, ”Qui a été associé à de nombreux cas de détournement de vastes étendues d'adresses IP d'autres organisations très récemment.

Certains des fils de discussion de Profitvolt sur les Hackforums.

QUI EST RESNET?

Réseautage[.]com liste sur sa page d'accueil le numéro de téléphone du contact 202-643-8533. Ce numéro est lié aux enregistrements d’enregistrement de plusieurs domaines, y compris la mise en réseau.[.]com, résidentiel vpn[.]Info, et résidentiel vpn[.]org. Tous ces domaines ont également dans leurs enregistrements WHOIS historiques le nom Joshua Powder et Residential Networking Solutions LLC.

L'exécution d'une recherche WHOIS inverse via Domaintools.com sur «Joshua Powder» fournit près de 60 noms de domaine, dont la plupart sont liés à l'adresse de messagerie. joshua.powder@gmail.com. Parmi ceux-ci sont resnetworking[.]info, resvpn[.]com / net / org / info, tobagospeaks[.]com, tthack[.]com et profitvolt[.]com. Rappelons que “Profitvolt” est le pseudo du réseautage publicitaire des utilisateurs de Hackforums[.]com.

L’adresse e-mail josh@tthack.com a été utilisée pour créer un compte sur le site réservé aux escrocs, blackhatworld.[.]com sous le surnom «BulletProofWebHost». Voici une liste des domaines enregistrés sous cette adresse électronique.

Une recherche sur les adresses électroniques Joshua Powder et tthack chez Hyas, une startup spécialisée dans la combinaison de données provenant d'un certain nombre de sources afin d'attribuer l'activité de cybercriminalité, associe ensuite celles-ci à mafiacloud@gmail.com et au numéro de téléphone. 868-360-9983, qui est un numéro de téléphone portable attribué par Digicel Trinidad and Tobago Ltd. Vous trouverez ici une liste complète des domaines liés à ce numéro 868.

Les services de Hyas ont également signalé ce message sur la page Facebook de la Société de développement économique du comté de Prince George dans le Maryland, qui semble inclure une photo de 2017 de M. Powder posant avec des représentants du comté.

«UN FOURNISSEUR DE SOLUTIONS GLORIFIÉ»

Il y a environ trois semaines, KrebsOnSecurity a appelé le numéro 202 figurant en haut du réseau.[.]com. À ma grande surprise, un homme parlant dans un bel accent caribéen a répondu à l'appel et s'est identifié sous le nom de Josh Powder. Quand j’ai demandé par hasard à quel point il avait acquis cet accent, Powder a déclaré qu’il était originaire du New Jersey mais a admis qu’il avait des membres de sa famille qui vivent maintenant à Trinité-et-Tobago.

Selon M. Powder, Residential Networking Solutions LLC est «un fournisseur Internet normal de colocalisation», en activité depuis environ trois ans et employant environ 65 personnes.

«Vous n’êtes pas la première personne à nous appeler à propos de VPN résidentiels», a déclaré Powder. «Dans le passé, nous avions des clients qui hébergeaient des VPN, mais c’est quelque chose qui a été abandonné depuis 2017. Nous sommes tous un fournisseur de solutions renommé, et nous négocions et louons des lignes Internet de différentes sociétés.»

Interrogé sur les différents forfaits de «mise en bouteille» en vente sur Resnetworking[.]com, Powder a répondu que le site n’avait pas été mis à jour depuis longtemps et qu’il s’agissait d’offres inactives résultant d’un modèle commercial désormais abandonné.

«Lorsque nous avons commencé en 2016, nous étions vraiment inexpérimentés et avons engagé des spécialistes du référencement. [search engine optimization] entreprises à faire du marketing ", at-il expliqué. «Nous avons fini par comprendre que cela créait une tempête de merde, parce que cela commençait à nous donner un aspect spécifique à certaines personnes. Nous avons donc dû passer par un processus de remodelage. Ce processus n’est pas terminé et le site Web dans son ensemble va prendre sa retraite dans environ une semaine. »

Powder affirme que sa société a signé un contrat avec AT & T pour la revente de services de données LTE et 4G et qu'il a conclu un accord similaire avec Sprint. Il a également suggéré que l’une des sociétés susmentionnées qui travaillaient en partenariat avec Resnet – IAPS Security Services – était responsable de la plupart des activités douteuses qui lui avaient valu des plaintes d’abus et des appels étranges au sujet des services VPN.

"Ce gars nous a contacté et il a loué un service chez nous et nous a presque causé beaucoup de problèmes", a déclaré Powder. «Il faisait beaucoup de choses illégales, et je pense qu'il y a une affaire en cours avec lui légalement. C’est ce qui nous a poussés à être plus vigilants et à vraiment regarder ce que nous faisons et à le changer. Cela a attiré trop de bêtises.

Fait intéressant, lorsqu’on visite l’ancien domaine d’IAPS Security Services – intl-alliance[.]com – il envoie maintenant à resvpn[.]com, qui est l’un des domaines enregistrés par Joshua Powder.

Peu de temps après notre conversation, les forfaits mensuels que j'ai interrogés à propos de Powder étaient en vente sur le réseautage[.]com a disparu du site ou s'est caché derrière un identifiant. De plus, les préfixes IPv6 de Resnet (tels que les services de sécurité IAPS) ont été supprimés de la liste des adresses de la société. Parallèlement, un grand nombre de postes de Profitvolt antérieurs à 2018 ont été supprimés de Hackforums.

ÉPILOGUE

Il semble que l’avenir des abus de faible intensité visant certaines des destinations Internet les plus populaires est lié à la volonté croissante des plus grands fournisseurs d’accès Internet au monde de revendre des morceaux distincts de leur espace d’adresse à quiconque est en mesure de les payer.

Plus tôt cette semaine, j’ai eu une conversation sur Skype avec une personne qui a répondu à mes demandes pour obtenir plus d’informations de réseaux résidentiels.[.]com, et cette personne m'a dit que de nombreux fournisseurs de services Internet mobiles et fixes étaient plus qu'heureux de vendre d'énormes quantités d'adresses IP à n'importe qui.

«Les fournisseurs de services mobiles vendent également des services de masse», a proposé la personne qui a répondu à ma demande Skype. «Rogers au Canada vient d’ouvrir un nouveau forfait de lignes de données 4G illimitées et nous négocions actuellement avec ce service. Le Royaume-Uni a également des fournisseurs 4G qui ont également des lignes de données illimitées. "

La personne qui a répondu à mes messages Skype a déclaré avoir acheté la plupart de ses procurations auprès d'un revendeur chez customproxysolutions[.]com, qui annonce «le plus grand réseau de modems 4G LTE au monde aux États-Unis».

Il a ajouté que «Rogers au Canada a une offre spéciale selon laquelle si vous achetez plus de 50 lignes, vous bénéficiez d'un prix réduit inférieur au prix de 75 $ US du prix qu'ils factureraient pour moins de 50 lignes. La plupart des fournisseurs de services Internet mobiles souhaitent donc vendre des lignes de masse au lieu de lignes simples. "

Il reste à déterminer quelle quantité d’espace d’adresse Internet revendiquée par ces divers réseaux proxy et VPN résidentiels a été acquise légalement ou par d’autres moyens. Mais il semble que Resnet et ses partenaires commerciaux soient en fait à la pointe de ce que signifie être un fournisseur Internet à toute épreuve aujourd'hui.



Tags: 202-643-8533, 868-360-9983, Akamai, Hackforums, Hexproxy, Hyas, Services de sécurité IAPS, Joshua Powder, joshua.powder@gmail.com, Laskh Cybersecurity and Defence LLC, Men Danil Valentinovich, Profitvolt, Résidentiel Networking Solutions LLC, mandataires résidentiels, Resnet, réseautage, Serversget, robots de chaussure, robots de baskets, Wireless Data Service Provider Corporation

Cet article a été publié le lundi 19 août 2019 à 09h03 et est classé dans A Little Sunshine, Breadcrumbs, The Coming Storm.
Vous pouvez suivre les commentaires de cette entrée via le flux RSS 2.0.

Vous pouvez passer à la fin et laisser un commentaire. Le ping n'est actuellement pas autorisé.

[random-images]

L'essor des réseaux résidentiels «à l'épreuve des balles» – Krebs sur la sécurité – Techniques de Black Hat SEO
4.9 (98%) 32 votes
 

Laisser un commentaire