Il Dipartimento di Giustizia degli Stati Uniti (DOJ) ha sequestrato oggi quattro dozzine di domini che vendevano servizi di “booter” o “stresser” – attività che rendono facile ed economico anche per gli utenti non tecnici lanciare potenti attacchi DDoS (Distributed Denial of Service) progettati per mettere offline gli obiettivi. Il Dipartimento di Giustizia ha inoltre accusato sei uomini statunitensi di reati informatici legati alla loro presunta proprietà dei popolari servizi DDoS a pagamento.
Il servizio booter OrphicSecurityTeam[.]com era uno dei 48 domini DDoS-for-hire sequestrati dal Dipartimento di Giustizia questa settimana.
I servizi di Booter sono pubblicizzati attraverso una varietà di metodi, tra cui forum del Dark Web, piattaforme di chat e persino youtube.com. Accettano pagamenti tramite PayPal, Google Wallet e/o criptovalute e gli abbonamenti possono variare di prezzo da pochi dollari a diverse centinaia al mese. Il prezzo dei servizi varia in genere in base al volume di traffico da inviare all’obiettivo, alla durata di ogni attacco e al numero di attacchi contemporanei consentiti. I procuratori di Los Angeles affermano che i siti di booter supremesecurityteam[.]com e royalstresser[.]com sono frutto dell’ingegno di Jeremiah Sam Evans Miller, alias “John the Dev”, un ventitreenne di San Antonio, Texas. Miller è stato accusato questa settimana di cospirazione e di violazione del Computer Fraud and Abuse Act (CFAA). La denuncia contro Miller sostiene che Royalstresser ha lanciato quasi 200.000 attacchi DDoS tra il novembre 2021 e il febbraio 2022.
L’imputato Angel Manuel Colon Jr, alias Anonghost720 e Anonghost1337, è un 37enne di Belleview, Fla. Colon è sospettato di gestire il servizio di booter securityteam[.]io. È stato anche accusato di cospirazione e di violazioni della CFAA. Secondo i federali, il servizio di stresser SecurityTeam ha condotto 1,3 milioni di attacchi tra il 2018 e il 2022 e ha attirato circa 50.000 utenti registrati. Accusati di cospirazione sono Corey Anthony Palmer, 22 anni, di Lauderhill, Florida, per la sua presunta proprietà di booter[.]sx; e Shamar Shattock, 19 anni, di Margate, Florida, per la presunta gestione del servizio booter astrostress[.]com, che aveva più di 30.000 utenti e ha sferrato circa 700.000 attacchi.
Altri due presunti gestori di siti booter sono stati accusati in Alaska. John M. Dobbs, 32 anni, di Honolulu, HI, è accusato di favoreggiamento di violazioni della CFAA relative al funzionamento di IPStresser[.]com, che avrebbe gestito per quasi 13 anni fino al mese scorso. Durante questo periodo, IPstresser ha lanciato circa 30 milioni di attacchi DDoS e ha raccolto più di due milioni di utenti registrati. Anche Joshua Laing, 32 anni, di Liverpool, NY, è stato accusato di infrazioni CFAA legate alla sua presunta proprietà del servizio booter TrueSecurityServices[.]io, che secondo i pubblici ministeri aveva 18.000 utenti e ha condotto oltre 1,2 milioni di attacchi tra il 2018 e il 2022.
I fornitori di stresser e booter sostengono di non essere responsabili dell’uso che i clienti fanno dei loro servizi e di non violare la legge perché, come la maggior parte degli strumenti di sicurezza, i servizi di stresser possono essere usati per scopi buoni o cattivi. Ad esempio, tutti i siti di booter sopra citati contenevano dei verbosi accordi di “termini d’uso” che richiedevano ai clienti di accettare di sottoporre a stress test solo le proprie reti e di non utilizzare il servizio per attaccare altri. Ma il DOJ afferma che queste clausole di esclusione della responsabilità di solito ignorano il fatto che la maggior parte dei servizi di booter si basa sulla scansione costante di Internet per requisire i dispositivi mal configurati che sono fondamentali per massimizzare le dimensioni e l’impatto degli attacchi DDoS. “Nessuno di questi siti ha mai richiesto all’FBI di confermare la proprietà, la gestione o il diritto di proprietà sul computer che l’FBI ha attaccato durante i suoi test (come sarebbe appropriato se gli attacchi avessero uno scopo legittimo o autorizzato)”, si legge in una dichiarazione giurata (PDF) depositata da Elliott Peterson, un agente speciale dell’ufficio di Anchorage dell’FBI.
“Inoltre, l’analisi dei dati relativi agli attacchi avviati dall’FBI ha rivelato che gli attacchi lanciati dai DOMINI SOGGETTI hanno comportato un ampio uso improprio di servizi di terze parti”, ha proseguito Peterson. In particolare, tutti i servizi testati offrivano attacchi di “amplificazione”, in cui il traffico dell’attacco viene amplificato attraverso inconsapevoli server di terze parti per aumentare la dimensione complessiva dell’attacco e per spostare l’onere finanziario della generazione e della trasmissione di tutti quei dati dall’amministratore del sito booter a terze parti”.
Secondo i procuratori federali statunitensi, l’uso di servizi booter e stresser per condurre attacchi è punibile ai sensi delle leggi sulla frode telematica e del Computer Fraud and Abuse Act (18 U.S.C. § 1030) e può comportare l’arresto e l’avvio di un procedimento giudiziario, il sequestro di computer o altri dispositivi elettronici, nonché pene detentive e sanzioni o ammende. Le accuse rese note oggi derivano da indagini avviate dagli uffici dell’FBI di Los Angeles e dell’Alaska, che hanno trascorso mesi ad acquistare e testare i servizi di attacco offerti dai siti booter.
Un’indagine simile iniziata dall’ufficio dell’FBI in Alaska nel 2018 è culminata in un’operazione di smantellamento e arresto che ha preso di mira 15 siti DDoS a pagamento, oltre a tre imputati di negozi booter che in seguito si sono dichiarati colpevoli. Il Dipartimento di Giustizia afferma che sta cercando di far capire alle persone che anche l’acquisto di attacchi da servizi DDoS a pagamento può mettere gli utenti di Internet in pericolo di vita. “Sia che un criminale lanci un attacco autonomamente, sia che paghi un appaltatore esperto per portarlo a termine, l’FBI collaborerà con le vittime e utilizzerà i notevoli strumenti a nostra disposizione per identificare la persona o il gruppo responsabile”, ha dichiarato Donald Alway, vicedirettore responsabile dell’ufficio di Los Angeles dell’FBI.
Il Regno Unito, che ha combattuto la sua parte di boss del booter domestico, nel 2020 ha iniziato a pubblicare annunci online rivolti ai giovani che cercano servizi di booter sul Web.
In Europa, i pubblici ministeri hanno persino perseguito i clienti dei booter.
Ecco l’elenco completo dei domini di siti booter sequestrati (o in fase di sequestro) dal DOJ:
api-sky[.]xyz
astrostress[.]com
blackstresser[.]net
booter[.]sx
booter[.]vip
bootyou[.]net
brrsecurity[.]org
buuter[.]cc
cyberstress[.]us
defconpro[.]net
dragonstresser[.]com
dreams-stresser[.]io
exotic-booter[.]com
freestresser[.]so
instant-stresser[.]com
ipstress[.]org
ipstress[.]vip
ipstresser[.]com
ipstresser[.]us
ipstresser[.]wtf
ipstresser[.]xyz
kraysec[.]com
mcstorm[.]io
nightmarestresser[.]com
orphicsecurityteam[.]com
ovhstresser[.]com
quantum-stresser[.]net
redstresser[.]cc
royalstresser[.]com
securityteam[.]io
shock-stresser[.]com
silentstress[.]net
stresser[.]app
stresser[.]best
stresser[.]gg
stresser[.]is
stresser[.]net/stresser[.]org
stresser[.]one
stresser[.]shop
stresser[.]so
stresser[.]top
stresserai[.]com
sunstresser[.]com
supremesecurityteam[.]com
truesecurityservices[.]io
vdos-s[.]co
zerostresser[.]com
