玩游戏为啥老掉线?网络黑产:一千元瘫痪网站9小时
新京报记者罗亦丹
玩游戏为啥老掉线?网页为什么打不开?也许是受到了网络攻击。
近日,最高检公布了国内首例全链条打击黑客跨境网络攻击案。最高人民检察院公布的第十八批指导性案例中,包括姚晓杰等11人破坏计算机信息系统案,涉及黑客圈内知名的“暗夜”攻击小组。
目前黑市上仍有大量通过此类网络DDoS攻击牟取利益的黑客团伙。新京报记者4月13日至4月17日调查发现,在黑灰产交易平台中,网络攻击成为了明码标价的“商品”,不少雇主直接发布想要攻击的网站地址或App名称,雇佣黑客攻击,导致目标无法访问,服务瘫痪。根据目标网站的安全防御力不同,攻击的价格也有所不同。进行攻击的黑客、为黑客供应“弹药”的流量提供方、用来测试攻击力的“墙”、同业竞争的雇主等,构成了网络攻击黑产产业链。
“‘暗夜’一案是全国首例全链条打击黑客跨境攻击案,案件涉及的并非只有‘暗夜攻击小组’一个团伙,全案11名被告人在攻击链条中起到的作用不同,甚至有一些素未谋面。但这类案件往往需要将上下游行为串在一起,才能还原事实、查明真相,这也是打击网络犯罪的特点和难点。”腾讯网络安全与犯罪研究基地高级研究员肖薇表示。
网络攻击明码标价
数百元发起一次攻击,勒索数万元
“接非法网站、私服、博彩、棋牌App,DDoS攻击服务,帮你打击竞争对手”、“网址XXX,能打的私聊”……4月13日,新京报记者调查发现,在某境外黑灰产交易平台中,网络攻击成为了明码标价的“商品”,不少雇主直接发布想要攻击的网站地址或App名称,雇佣黑客进行DDoS攻击,导致目标无法访问,服务瘫痪。
新京报记者了解到,DDoS攻击的原理是攻击者控制多台机器在同一时间集中访问一个IP地址,造成访问流量飙升,最终导致该地址网页无法打开,服务崩溃,其原理类似于一家餐厅突然涌入了极多“霸王客”导致正常顾客无法进入。
4月16日下午1点,新京报记者联系到一名提供DDoS攻击服务的黑客,对方表示要先看目标网站的IP地址,才能给出攻击报价。记者给出某小型非法网站地址,对方表示该网站“之前打过,有6个CDN(内容分发网络,可以降低网络堵塞,一定程度上抵抗攻击),一个IP打10分钟,大概30分钟就能打死(瘫痪),价格1000元,从现在到晚上十点。”照此计算,只要支付1000元,就可以让目标网站瘫痪9个小时。
腾讯守护者计划资深安全专家雪狼告诉新京报记者,针对攻击目标网络防护能力的不同,攻击的成本也不一样,“最低档的话基本上是200元打一次,一般有一点防御的小网站是1000到2000元打一次,价格波动很大。”
而对于把服务放在云服务器中或者防护更好的网站,则需要流量更大、攻击力更高的DDoS攻击。
“在2017年基本上一名黑客若能做到每秒450G峰值攻击力的DDoS攻击,一个小时的成本大概为1000元左右,攻击的目的可能是只把网站打瘫痪一次,之后进行勒索,也可能是受雇于人持续攻击扰乱网站的正常服务。”雪狼表示。
根据公开报道,较近的一则DDoS攻击案例是4月10日《检察日报》发布的台州某智能科技公司遭攻击一案。2019年1月,该公司陆续接到不少游戏玩家投诉,反映在玩游戏时出现频频掉线等状况,后证实遭到了黑客DDoS攻击,这些攻击让用户无法登录,造成大量用户流失,仅一台服务器上受影响的注册用户人数就有近2万人。为了应对攻击,公司专门花费5万多元购买DDoS防护包,但效果并不显著。最终公安机关抓获了涉事黑客骆某,发现其以300元的价格从雇主处接单,并租用了一台中控服务器,抓“肉鸡”(即被非法控制的计算机信息系统,可以为攻击提供流量),使用DDoS攻击技术攻击了该公司的服务器。
腾讯云发布的《2019年DDoS威胁报告》(下称《威胁报告》)显示,黑客购买攻击服务的成本在数百元,而发起勒索每次的赎金可以达到数万元;黑客搭建攻击站点的成本在数千元,而出租DDoS攻击服务的收入可以达到数十万元。
黑产分工明确
有人提供“弹药”黑客负责攻击
新京报记者发现,目前黑市中DDoS攻击已经形成了分工明确的上下游产业链:处在产业链上游的是各类DDoS攻击软件卖家,他们为“傻瓜式”网络攻击提供了工具,降低了黑客的入门门槛;处在产业链中游的是流量提供方,这些流量提供者或是拥有自己的专业机房,可以提供稳定的带宽,或是拥有大量“肉鸡”,可以为DDoS攻击提供充足的“弹药”;产业链下游的则是执行攻击的黑客本人。此外,还有一些具有抗DDoS攻击的公司主动参与了DDoS攻击,他们的作用是提供测试DDoS攻击力的“墙”,以方便雇主验证黑客的攻击实力,也成为了网络攻击黑产的一环。
其中,黑客最重要的上游当属流量提供方,2016年北京朝阳法院温榆河法庭公布的案例显示,曾有被告人通过木马程序控制了68台计算机,并将被控制计算机的流量出租给黑客进行DDoS攻击并从中牟利,1G流量一天获利100元,5个月间获利3万余元,被告人供述自己只负责抓“肉鸡”,并不负责攻击任何服务器和网站。但显然该被告人也属于DDoS攻击黑产产业链的链条之一。
《威胁报告》显示,中木马的个人电脑是黑客最大的肉鸡来源,占比46%。
4月16日,新京报记者在境外黑灰产平台中发现,有不少黑客在平台中高调“收流量”,当有流量方表示以50元1G的价格出售流量时,立刻有黑客表示“全都收”,此外也有黑客表示真正有实力的人都是“自己买机房”。
除买卖流量外,黑灰产平台中还活跃着不少提供DDoS攻击脚本、软件的卖家,熟悉黑产的人士“战神”对记者表示,许多老的攻击脚本到现在仍然可以卖出不少钱,但真正前沿的DDoS攻击技术目前还主要从国外传入,如果一名黑客可以做到300到500G的持续攻击,一个月至少需要几万元成本。
谁易被攻击?
游戏、电商位居前两名主要是恶性竞争
而在攻击目标上,大部分黑客表示乐意攻击非法网站。“战神”表示,这主要是因为这类“黑吃黑”的攻击发生后,被攻击者一般只能吃哑巴亏,而BAT等大型互联网公司则是这些黑客们普遍不乐意攻击的对象,因为“难度过高,风险较大”。
根据《威胁报告》,在DDoS攻击的行业分布中,游戏行业占42%,是最易受DDoS攻击的对象,电子商务和网络服务行业分别占15%和14%,位居二三位。而游戏行业中,近半数遭到攻击的对象为手游App。
不过,新京报记者在黑灰产平台中同一些黑客交谈时发现,由于手游App无法像页游一样直观的显示出所在IP,所以往往需要使用一些技术手段先检测出IP所在地再进行攻击,因此不少黑客在收到攻击App的需求时往往要求雇主先给出IP地址,“自己检测IP太麻烦了,你直接给我地址我才能给你报价。”
《威胁报告》称,在DDoS攻击的目的方面,打击竞争对手、向互联网企业收取“保护费”勒索以及向玩家出售“炸房挂”、“掉线挂”是最主要的三类收益来源,其中,超过80%的黑客发动DDoS攻击的动机源于恶意竞争。
DDoS攻击的打击难题:
取证难、需国际合作
雪狼表示,近年来随着网络的发展,云服务器的带宽和性能都大幅度提升,防御力和对抗技术也在不断进步,因此DDoS攻击需要的流量也逐年攀升。跟前几年相比,黑客团伙的两极分化比较严重,小黑客对大型企业没有什么威胁,大型黑客组织则一般都牵涉境外,这是最麻烦的问题。此外,随着物联网的发展,越来越多物联网设备成为了“肉鸡”,利用物联网设备进行UDP反射攻击的攻击方式越来越多,这给取证带来了更大的难题。
《威胁报告》显示,2019年DDoS攻击次数相较于2018年出现小幅回落趋势,但大流量攻击依然突出;海外DDoS威胁大幅增长,2019年,海外攻击占比达到15%,相较于2018年几乎翻倍。
目前,已经落网的较为知名的黑客包括骑士攻击小组以及暗夜攻击小组。其中,骑士攻击小组于2010年落网,据公开报道显示其在落网时收益已经达到1亿元。而暗夜攻击小组则是骑士之后国内最知名的黑客团队之一,案发当时拥有国内近半的DDoS攻击份额。
“暗夜小组能在非常短的时间内组织起极高流量的DDoS攻击,随时对不特定目标发起进攻,这是非常可怕的。”肖薇告诉记者,“这样规模的攻击需要上下游各环节结合起来才能实现。例如‘暗夜’背后有雇主提供资金和指定目标,外部有‘肉鸡’控制者为其提供流量,‘暗夜’自身也有组织分工:有负责日常管理的,有专门收购攻击流量和‘测墙’的,有分析IP和操控‘肉鸡’攻击的,有负责软件调试和电脑维护的,有负责转账洗钱的,还有负责后勤服务的。所有这些人在DDoS攻击中起到的作用各不相同,有一些人甚至相互都不认识。”
“战神”告诉记者,目前打击DDoS攻击很难,因为“国内运营商要配合中国公安,可溯源放大攻击必须要国外运营商配合,国外运营商不太可能完全配合中国公安。”
在肖薇看来,对DDoS攻击的打击难点在于,一是在客观无法完整溯源的情况下,每一次攻击与损害结果间难以确立一一对应的因果关系;二是仅从法律规定的“直接经济损失”和“修复的必要费用”评价,无法客观反映出网络攻击给云服务商和网络秩序造成的实际损害;三是当前主流的云服务普遍采用前置防护的方式维护网络安全,这一部分成本投入无法映射至经济损失中,令案件难以达到入罪标准。此外,高隐蔽性和跨境化是当前DDoS攻击的普遍特征,这也为开展案件打击、取证固证都带来了极大的挑战。
此外,相对于造成的破坏,目前国内对网络攻击案例的判罚大多只在一至二年。如最高检公布的关于暗夜小组的指导性案例中,11名被告人最终因破坏计算机信息系统案被分别判处有期徒刑一年至二年不等。
有游戏行业从业者认为,相对于黑客行为造成的破坏,判一至二年的结果“非常轻”,“服务器崩溃会直接影响用户体验,一些黑客专门挑在线人数最多的时候攻击,造成用户无法登录,最后导致用户流失,这给我们造成的损失无法估量。”
对此,有法律界人士对新京报记者表示,破坏计算机信息系统罪处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。根据国家规定,造成十台以上计算机不能正常运行的属于“后果严重”,但目前在云服务的背景下,已经不能按照十台、百台来计算,因此,适时更新与黑客攻击有关的法律法规势在必行。
相关文章
-
周鸿祎:离开场景谈5G是虚,离开安全谈5G是空
5G时代,不仅万物互联,一切还可编程,这给了黑客渗透、攻击的手段。,但5G+带来的整个数字化建立在软件基础之上,接入软件本身复杂度增加,例如代码行数更多,逻辑结构更加复杂,未知漏洞也会越来越多。,“黑客发送攻击前,总会出现异动,我们通过大数据、人工智能驱动的分析引擎,在浩如烟海的数据中去寻找和研制网络异常行为,进行实时分析,认定确实有问题后,进行实时阻拦。
2024-03-22 09:18 -
趣谈美伊信息战
回来说“震网”病毒,其最终结果已经有许多报道,伊朗人发现,离心机莫名其妙地出现故障,而参数显示一切正常,怎么也查不出原因。,当时美军研制出6米长的设备,以潜艇拖放到苏联海底电缆附近收集信息,每一个月左右,由潜水员进行更换。,“猎杀巨人”项目一直在悄悄进行,直到2013年,德国《明镜》周刊和美国《纽约时报》根据斯诺登的文件,报道了该项目的细节,它才被公众知晓。
2024-03-22 08:55 -
360:捕获用肺炎疫情投递攻击案例 来自印度黑客组织
新浪科技讯2月5日上午消息,360公司今日表示,360安全大脑近日捕获了一例利用新冠肺炎疫情相关题材投递的攻击案例,攻击者利用肺炎疫情相关题材作为诱饵文档,对抗击疫情的医疗工作领域发动APT攻击。,据悉,该攻击组织使用采用鱼叉式钓鱼攻击方式,通过邮件进行投递。,该组织的攻击目标主要为:中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。
2024-03-22 08:49 -
信息安全又现漏洞,传感器竟成“窃听器”
来源:科技日报本报记者马爱平加速度计,又称加速度传感器,目前在智能手机上被广泛地应用,可以通过测量手机在各个方向上的“应力”来得出加速度,像手机中的计步器、“摇一摇”等许多功能都基于这些传感器来实现。,以往业界普遍认为其和个人隐私信息无关,因此在功能设置上,手机App可以“无门槛”调用加速度计读数或是获取相应权限。,此外,任奎还补充道:“我们应当从法律法规上细化对敏感信息的定义和使用规范。
2024-03-22 08:24 -
世卫组织:约450个邮箱信息被泄露 网络攻击增加五倍
记者朱赫当地时间4月23日晚,世卫组织发表声明,自新冠肺炎大流行以来,世卫组织员工遭受的网络攻击,以及针对公众的电子邮件欺诈数量急剧增加。,本周约有450个世卫组织电子邮箱地址及密码被泄露,还有数以千计的其他研究新冠肺炎病毒的人员邮箱信息遭泄露。,世卫组织将建立更坚固的内部系统并加强安全措施,并就网络安全风险对员工进行教育。
2024-03-22 08:08 -
360:越南黑客窃取抗疫情报 利用新冠题材引诱用户
新浪科技讯5月7日上午消息,360公司今日表示,近期发现有黑客组织在不断尝试窃取我国医疗卫生行业的相关机密,通过安全大脑多次监测、追踪到的证据分析证明,该组织确为越南黑客组织APT32(海莲花OceanLotus)。,据介绍,海莲花是高度组织化、专业化的境外国家级黑客组织。,从2012年4月起,就针对中国多个实体机构,开展了精密组织的网络攻击。
2024-03-22 08:04 -
360回应被美列"实体清单":坚决反对这一不负责任的指责
360安全大脑累计帮助苹果、谷歌、微软发现数千个安全漏洞,间接保护全球网民,并得到这些公司的高度评价和多次感谢。,360安全大脑也曾多次帮助美国执法机构破获全球网络犯罪攻击案件,在国际上得到广泛认可。,360认为网络攻击和犯罪才是全人类共同的敌人,需要全球网络安全力量更好地开展合作。
2024-03-22 07:54 -
Twitter大规模黑客攻击或将演变成全球安全危机
无论公司最终怎么讲述这次事件,有一点必须承认,危机早在几年前就已经开始酝酿。,黑客似乎已经消停,但认证账号从东部时间下午四点开始陆续发布新的诈骗推文,一直持续两个多小时。,这次事件后,不难想象,如果有人控制了某个世界领导人的账户然后试图发动核战争,也未尝没有可能。
2024-03-22 07:29 -
美参议员要求Twitter CEO杰克·多西配合调查黑客入侵
新浪科技讯北京时间7月16日上午消息,据外媒报道,Twitter的黑客攻击事件发生后,参议员乔什·霍利(JoshHawley)在周三给该科技巨头发送了一封信,呼吁Twitter与联邦政府的执法部门合作。,”疑似比特币诈骗者在7月15日傍晚控制许多账户超过两小时,至少有数百人上当受骗。,一条黑客攻击的典型推文写道:“人人都在呼吁我回馈大家,那么就现在吧。
2024-03-22 07:29