7 Giugno 2020 - Tempo di lettura: 32 minuti
I co-proprietari di vDOS, un servizio ormai defunto che per quattro anni ha aiutato i clienti paganti a lanciare più di due milioni di attacchi denial-of-service (DDoS) distribuiti che hanno distrutto innumerevoli utenti Internet e siti Web offline, ciascuno è stato condannato a sei mesi di servizio comunitario da parte di un tribunale israeliano.
Un giudice israeliano ha emesso le sentenze più multe e libertà vigilata contro Yarden Bidani e Itay Huri, entrambi cittadini israeliani arrestati nel 2016 all'età di 18 anni in relazione a un'indagine dell'FBI su vDOS.
Fino a quando non è stato chiuso nel 2016, vDOS era di gran lunga il servizio DDoS-a-noleggio o "booter" più affidabile e potente sul mercato, consentendo anche agli utenti Internet completamente non qualificati di lanciare assalti paralizzanti in grado di far cadere la maggior parte dei siti Web offline.
vDOS pubblicizzava la possibilità di lanciare attacchi fino a 50 gigabit di dati al secondo (Gbps), ben più che sufficienti per eliminare qualsiasi sito non fortificato con costosi servizi di protezione anti-DDoS.
Il memorandum di condanna in lingua ebraica (PDF) non ha diffuso i nomi degli imputati, ma ci sono più che sufficienti indizi nel documento per accertare l'identità dell'imputato. Ad esempio, afferma che i due uomini hanno guadagnato poco più di $ 600.000 eseguendo vDOS, un fatto segnalato per la prima volta da questo sito nel settembre 2016 appena prima del loro arresto, quando vDOS è stato violato e KrebsOnSecurity ha ottenuto una copia del suo database utente.
Inoltre, il documento afferma che gli imputati sono stati inizialmente arrestati l'8 settembre 2016, arresti che sono stati documentati qui due giorni dopo.
Inoltre, la condanna menziona il ruolo di supporto di un residente negli Stati Uniti chiamato solo come "Jesse". Questo probabilmente si riferisce al 23enne Jesse Wu, che KrebsOnSecurity ha notato nell'ottobre 2016 registrando pseudonimamente la società di hosting britannica utilizzata da vDOS, e gestiva un piccolo registrar di nomi di dominio chiamato NameCentral che vDOS e molti altri servizi di potenziamento impiegati.
I pubblici ministeri israeliani affermano che Wu ha creato la propria infrastruttura di pagamento e ha ricevuto il 15% delle entrate totali di vDOS per i suoi problemi. NameCentral non sembra più essere in attività e Wu non è stato intervistato.
Anche se è chiaro che Bidani e Huri sono imputati in questo caso, è meno chiaro che viene indicato come Convenuto n. 1 o Convenuto n. 2. Entrambi sono stati giudicati colpevoli di "corruzione / disturbo di un computer o materiale informatico", accusando di avere pochi precedenti nei tribunali israeliani, osservando che "casi di questo tipo non sono stati discussi in tribunale finora". L'imputato n. 1 è stato anche condannato per aver condiviso foto di una ragazza di 14 anni nuda.
vDOS ha anche venduto l'accesso API alle proprie infrastrutture di attacco back-end ad altri servizi di potenziamento per monetizzare ulteriormente la loro potenza di fuoco in eccesso, tra cui Vstress, Ustress e PoodleStresser e LizardStresser.
Entrambi gli imputati hanno ricevuto la pena più bassa possibile (il massimo era di due anni di carcere) - sei mesi di servizio comunitario sotto la sorveglianza del servizio carcerario israeliano - principalmente perché gli accusati erano minori durante la maggior parte dei loro reati. Il giudice ha anche inflitto piccole multe a ciascuno, rilevando che oltre 175.000 dollari di profitti erano già stati sequestrati dalla loro attività di promozione.
Il giudice ha osservato che mentre il Convenuto n. 2 aveva mostrato rimorso per i suoi crimini e una comprensione di come le sue azioni influivano sugli altri - anche singhiozzando durante un procedimento giudiziario - il Convenuto n. 1 non ha partecipato alle sessioni di terapia precedentemente ordinate dal tribunale, e che ha "un confine chiaro e scoraggiante per il ripetersi di ulteriori reati in futuro".
Boaz Dolev, CEO di ClearSky Cyber Security, ha dichiarato di essere deluso dalla leggerezza delle sentenze dato il danno causato dai giovani.
"Penso che un'operazione del genere che ha causato gravi danni a così tante aziende avrebbe dovuto essere gestita in modo diverso dal sistema giudiziario israeliano", ha affermato Dolev.
"Il fatto che avevano meno di 18 anni quando commettevano i loro crimini li ha salvati da sentenze molto più dure".
Mentre gli attacchi DDoS colpiscono in genere un singolo sito Web o host Internet, spesso provocano una diffusa interruzione collaterale di Internet.
Dire che vDOS era responsabile della maggior parte degli attacchi DDoS che intasavano Internet tra il 2012 e il 2016 sarebbe un eufemismo. I vari pacchetti di abbonamento per il servizio sono stati venduti in parte in base a quanti secondi sarebbe durato l'attacco denial-of-service. E in soli quattro mesi tra aprile e luglio 2016, vDOS è stato responsabile del lancio di oltre 277 milioni di secondi di tempo di attacco, o di circa 8,81 anni di traffico di attacco.
Sembra probabile che vDOS sia stato responsabile per diversi decenni di anni DDoS, ma è impossibile dirlo con certezza perché i proprietari di vDOS hanno sistematicamente cancellato i dati di attacco dai loro server.
I pubblici ministeri degli Stati Uniti e del Regno Unito negli ultimi anni hanno chiesto pene severe per coloro che sono stati condannati per l'esecuzione di servizi di promozione. Mentre un certo numero di accuse attuali contro presunti autori di reati non sono ancora state giudicate integralmente, solo una manciata di imputati in questi casi ha visto il vero carcere.
I due uomini responsabili della creazione e dello scatenamento della botnet Mirai hanno evitato il carcere grazie alla loro considerevole collaborazione con l'FBI.
Allo stesso modo, il residente in Pennsylvania David Bukoski ha recentemente ottenuto cinque anni di libertà vigilata e sei mesi di "confinamento nella comunità" dopo essersi dichiarato colpevole di aver eseguito il servizio di potenziamento del Quantum Stresser. Il membro della Lizard Squad e l'operatore di PoodleStresser Zachary Buchta è stato condannato a tre mesi di prigione e gli è stato ordinato di pagare $ 350.000 in restituzione per il suo ruolo nella gestione di vari servizi di potenziamento.
Dall'altra parte dello spettro, il residente dell'Illinois Sergiy Usatyuk è stato condannato a 13 mesi di prigione per l'esecuzione di molteplici servizi di potenziamento che hanno lanciato milioni di attacchi nel corso di diversi anni. E un ventenne residente nel Regno Unito nel 2017 ha avuto due anni di prigione per aver gestito il servizio Titanium Stresser.
Da parte loro, le autorità del Regno Unito hanno cercato di scoraggiare i potenziali clienti di questi servizi di promozione acquistando annunci di Google avvertendo che tali servizi sono illegali. L'obiettivo è quello di allontanare i clienti dal commettere ulteriori reati che potrebbero farli finire in prigione e verso usi più produttivi delle loro abilità e / o curiosità sulla sicurezza informatica.