玩游戏为啥老掉线?网络攻击黑产:一千元瘫痪网站9小时
玩游戏为啥老掉线?网页为什么打不开?也许是受到了网络攻击。
近日,最高检公布了国内首例全链条打击黑客跨境网络攻击案。最高人民检察院公布的第十八批指导性案例中,包括姚晓杰等11人破坏计算机信息系统案,涉及黑客圈内知名的“暗夜”攻击小组。
目前黑市上仍有大量通过此类网络DDoS攻击牟取利益的黑客团伙。新京报记者4月13日至4月17日调查发现,在黑灰产交易平台中,网络攻击成为了明码标价的“商品”,不少雇主直接发布想要攻击的网站地址或APP名称,雇佣黑客攻击,导致目标无法访问,服务瘫痪。根据目标网站的安全防御力不同,攻击的价格也有所不同。进行攻击的黑客、为黑客供应“弹药”的流量提供方、用来测试攻击力的“墙”、同业竞争的雇主等,构成了网络攻击黑产产业链。
“‘暗夜’一案是全国首例全链条打击黑客跨境攻击案,案件涉及的并非只有‘暗夜攻击小组’一个团伙,全案11名被告人在攻击链条中起到的作用不同,甚至有一些素未谋面。但这类案件往往需要将上下游行为串在一起,才能还原事实、查明真相,这也是打击网络犯罪的特点和难点。”腾讯网络安全与犯罪研究基地高级研究员肖薇表示。
网络攻击明码标价
数百元发起一次攻击,勒索数万元
“接非法网站、私服、博彩、棋牌App,DDoS攻击服务,帮你打击竞争对手”、“网址XXX,能打的私聊”……4月13日,新京报记者调查发现,在某境外黑灰产交易平台中,网络攻击成为了明码标价的“商品”,不少雇主直接发布想要攻击的网站地址或APP名称,雇佣黑客进行DDoS攻击,导致目标无法访问,服务瘫痪。
新京报记者了解到,DDoS攻击的原理是攻击者控制多台机器在同一时间集中访问一个IP地址,造成访问流量飙升,最终导致该地址网页无法打开,服务崩溃,其原理类似于一家餐厅突然涌入了极多“霸王客”导致正常顾客无法进入。
4月16日下午1点,新京报记者联系到一名提供DDoS攻击服务的黑客,对方表示要先看目标网站的IP地址,才能给出攻击报价。记者给出某小型非法网站地址,对方表示该网站“之前打过,有6个CDN(内容分发网络,可以降低网络堵塞,一定程度上抵抗攻击),一个IP打10分钟,大概30分钟就能打死(瘫痪),价格1000元,从现在到晚上十点。”照此计算,只要支付1000元,就可以让目标网站瘫痪9个小时。
腾讯守护者计划资深安全专家雪狼告诉新京报记者,针对攻击目标网络防护能力的不同,攻击的成本也不一样,“最低档的话基本上是200元打一次,一般有一点防御的小网站是1000到2000元打一次,价格波动很大。”
而对于把服务放在云服务器中或者防护更好的网站,则需要流量更大、攻击力更高的DDoS攻击。
“在2017年基本上一名黑客若能做到每秒450G峰值攻击力的DDoS攻击,一个小时的成本大概为1000元左右,攻击的目的可能是只把网站打瘫痪一次,之后进行勒索,也可能是受雇于人持续攻击扰乱网站的正常服务。”雪狼表示。
根据公开报道,较近的一则DDoS攻击案例是4月10日《检察日报》发布的台州某智能科技公司遭攻击一案。2019年1月,该公司陆续接到不少游戏玩家投诉,反映在玩游戏时出现频频掉线等状况,后证实遭到了黑客DDoS攻击,这些攻击让用户无法登录,造成大量用户流失,仅一台服务器上受影响的注册用户人数就有近2万人。为了应对攻击,公司专门花费5万多元购买DDoS防护包,但效果并不显著。最终公安机关抓获了涉事黑客骆某,发现其以300元的价格从雇主处接单,并租用了一台中控服务器,抓“肉鸡”(即被非法控制的计算机信息系统,可以为攻击提供流量),使用DDoS攻击技术攻击了该公司的服务器。
腾讯云发布的《2019年DDoS威胁报告》(下称《威胁报告》)显示,黑客购买攻击服务的成本在数百元,而发起勒索每次的赎金可以达到数万元;黑客搭建攻击站点的成本在数千元,而出租DDoS攻击服务的收入可以达到数十万元。
黑产分工明确
有人提供“弹药”黑客负责攻击
新京报记者发现,目前黑市中DDoS攻击已经形成了分工明确的上下游产业链:处在产业链上游的是各类DDoS攻击软件卖家,他们为“傻瓜式”网络攻击提供了工具,降低了黑客的入门门槛;处在产业链中游的是流量提供方,这些流量提供者或是拥有自己的专业机房,可以提供稳定的带宽,或是拥有大量“肉鸡”,可以为DDoS攻击提供充足的“弹药”;产业链下游的则是执行攻击的黑客本人。此外,还有一些具有抗DDoS攻击的公司主动参与了DDoS攻击,他们的作用是提供测试DDoS攻击力的“墙”,以方便雇主验证黑客的攻击实力,也成为了网络攻击黑产的一环。
其中,黑客最重要的上游当属流量提供方,2016年北京朝阳法院温榆河法庭公布的案例显示,曾有被告人通过木马程序控制了68台计算机,并将被控制计算机的流量出租给黑客进行DDoS攻击并从中牟利,1G流量一天获利100元,5个月间获利3万余元,被告人供述自己只负责抓“肉鸡”,并不负责攻击任何服务器和网站。但显然该被告人也属于DDoS攻击黑产产业链的链条之一。
《威胁报告》显示,中木马的个人电脑是黑客最大的肉鸡来源,占比46%。
4月16日,新京报记者在境外黑灰产平台中发现,有不少黑客在平台中高调“收流量”,当有流量方表示以50元1G的价格出售流量时,立刻有黑客表示“全都收”,此外也有黑客表示真正有实力的人都是“自己买机房”。
除买卖流量外,黑灰产平台中还活跃着不少提供DDoS攻击脚本、软件的卖家,熟悉黑产的人士“战神”对记者表示,许多老的攻击脚本到现在仍然可以卖出不少钱,但真正前沿的DDoS攻击技术目前还主要从国外传入,如果一名黑客可以做到300到500G的持续攻击,一个月至少需要几万元成本。
谁易被攻击?
游戏、电商位居前两名 主要是恶性竞争
而在攻击目标上,大部分黑客表示乐意攻击非法网站。“战神”表示,这主要是因为这类“黑吃黑”的攻击发生后,被攻击者一般只能吃哑巴亏,而BAT等大型互联网公司则是这些黑客们普遍不乐意攻击的对象,因为“难度过高,风险较大”。
根据《威胁报告》,在DDoS攻击的行业分布中,游戏行业占42%,是最易受DDoS攻击的对象,电子商务和网络服务行业分别占15%和14%,位居二三位。而游戏行业中,近半数遭到攻击的对象为手游APP。
不过,新京报记者在黑灰产平台中同一些黑客交谈时发现,由于手游APP无法像页游一样直观的显示出所在IP,所以往往需要使用一些技术手段先检测出IP所在地再进行攻击,因此不少黑客在收到攻击APP的需求时往往要求雇主先给出IP地址,“自己检测IP太麻烦了,你直接给我地址我才能给你报价。”
《威胁报告》称,在DDoS攻击的目的方面,打击竞争对手、向互联网企业收取“保护费”勒索以及向玩家出售“炸房挂”、“掉线挂”是最主要的三类收益来源,其中,超过80%的黑客发动DDoS攻击的动机源于恶意竞争。
DDoS攻击的打击难题:
取证难、需国际合作
雪狼表示,近年来随着网络的发展,云服务器的带宽和性能都大幅度提升,防御力和对抗技术也在不断进步,因此DDoS攻击需要的流量也逐年攀升。跟前几年相比,黑客团伙的两极分化比较严重,小黑客对大型企业没有什么威胁,大型黑客组织则一般都牵涉境外,这是最麻烦的问题。此外,随着物联网的发展,越来越多物联网设备成为了“肉鸡”,利用物联网设备进行UDP反射攻击的攻击方式越来越多,这给取证带来了更大的难题。
《威胁报告》显示,2019年DDoS攻击次数相较于2018年出现小幅回落趋势,但大流量攻击依然突出;海外DDoS威胁大幅增长,2019年,海外攻击占比达到15%,相较于2018年几乎翻倍。
目前,已经落网的较为知名的黑客包括骑士攻击小组以及暗夜攻击小组。其中,骑士攻击小组于2010年落网,据公开报道显示其在落网时收益已经达到1亿元。而暗夜攻击小组则是骑士之后国内最知名的黑客团队之一,案发当时拥有国内近半的DDoS攻击份额。
“暗夜小组能在非常短的时间内组织起极高流量的DDoS攻击,随时对不特定目标发起进攻,这是非常可怕的。”肖薇告诉记者,“这样规模的攻击需要上下游各环节结合起来才能实现。例如‘暗夜’背后有雇主提供资金和指定目标,外部有‘肉鸡’控制者为其提供流量,‘暗夜’自身也有组织分工:有负责日常管理的,有专门收购攻击流量和‘测墙’的,有分析IP和操控‘肉鸡’攻击的,有负责软件调试和电脑维护的,有负责转账洗钱的,还有负责后勤服务的。所有这些人在DDoS攻击中起到的作用各不相同,有一些人甚至相互都不认识。”
“战神”告诉记者,目前打击DDoS攻击很难,因为“国内运营商要配合中国公安,可溯源放大攻击必须要国外运营商配合,国外运营商不太可能完全配合中国公安。”
在肖薇看来,对DDoS攻击的打击难点在于,一是在客观无法完整溯源的情况下,每一次攻击与损害结果间难以确立一一对应的因果关系;二是仅从法律规定的“直接经济损失”和“修复的必要费用”评价,无法客观反映出网络攻击给云服务商和网络秩序造成的实际损害;三是当前主流的云服务普遍采用前置防护的方式维护网络安全,这一部分成本投入无法映射至经济损失中,令案件难以达到入罪标准。此外,高隐蔽性和跨境化是当前DDoS攻击的普遍特征,这也为开展案件打击、取证固证都带来了极大的挑战。
此外,相对于造成的破坏,目前国内对网络攻击案例的判罚大多只在一至二年。如最高检公布的关于暗夜小组的指导性案例中,11名被告人最终因破坏计算机信息系统案被分别判处有期徒刑一年至二年不等。
有游戏行业从业者认为,相对于黑客行为造成的破坏,判一至二年的结果“非常轻”,“服务器崩溃会直接影响用户体验,一些黑客专门挑在线人数最多的时候攻击,造成用户无法登录,最后导致用户流失,这给我们造成的损失无法估量。”
对此,有法律界人士对新京报记者表示,破坏计算机信息系统罪处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。根据国家规定,造成十台以上计算机不能正常运行的属于“后果严重”,但目前在云服务的背景下,已经不能按照十台、百台来计算,因此,适时更新与黑客攻击有关的法律法规势在必行。(新京报记者 罗亦丹)
评论