У мошенника отобрали 735 000 адресов IPv4 и вернули в реестр

Региональные интернет-регистратуры и зоны их обслуживания. Описанное мошенничество произошло в зоне ARIN

В ранние дни Интернета адреса IPv4 раздавали всем желающим большими подсетями. Но сегодня компании выстраиваются в очередь к региональному регистратору, чтобы раздобыть хоть небольшое адресное пространство. На чёрном рынке один IP стоит от $13 до $25, поэтому регистраторы борются с массой теневых брокеров, бизнес которых простой: получить новые блоки IP-адресов под ложным предлогом, а затем перепродать спамерам. В мае 2019 года региональному регистратору ARIN удалось отобрать IP-адреса у теневого брокера ^[1], которому предъявлено уголовное обвинение.

В реестр вернули около 735 000 IP-адресов. Это первый случай, когда у мошенников отбирают IP-адреса после судебного разбирательства.

14 мая прокуратура Южной Каролины предъявила Амиру Голестану обвинение в мошенничестве с использованием электронных средств коммуникации (wire fraud), которые он провернул через свою фирму Micfo LLC и сеть подставных компаний-пустышек. На них оформлялись подсети IPv4, а затем перепродавались спамерам ^[2].

В заявлении о возбуждении уголовного дела ^[3] перечислено 20 случаев мошенничества. В некоторых случаях указана цена, по которой Голестан продавал адреса. Например, одну подсеть из 65 536 адресов он продал по $13 за штуку, получив $851 896. У него был ещё один контракт на продажу 327 680 адресов по $19 за штуку на общую сумму $6,22 млн, но последнюю транзакцию заблокировали.

Интересно, что компания Micfo сама инициировала судебный процесс в конце прошлого года, подав в суд на ARIN (Американский регистратор интернет-номеров). До этого регистратор сообщил Голестану об обнаружении подставных компаний и угрожал отозвать около 735 000 IP-адресов, если Micfo не согласится предоставить больше информации о своих операциях и клиентах.

Поскольку к тому времени Micfo уже продала часть адресов спамерам, то отказалась предоставлять эту информацию. В результате суд отклонил просьбу компании ^[4].

Но в силу договора, подписанного Micfo с ARIN, любой дальнейший спор должен был решаться через арбитраж. 13 мая арбитражная комиссия обязала Micfo выплатить $350 тыс. за юридические услуги ARIN и вернуть 735 000 IP-адресов, которые компания ещё не продала.

Вот список некоторых подставных компаний и вымышленных личностей, которых сфабриковал Голестан для распределения подсетей IPv4 (из судебных документов):

Для компаний и вымышленных личностей создавались веб-сайты, регистрировались адреса электронной почты и так далее. От их имени в ARIN подавались запросы на получение подсетей IPv4. В таком заявлении компания должна описать род своей деятельности, перечислить имена сотрудников и прочие данные о фирме. Голестан фабриковал все документы.

По такой схеме он заполучил у ARIN примерно 757 760 адресов, рыночную стоимость которых прокуратура оценила от $9 850 880 до $14 397 440. Схема работала с 2014 года. В таблице ниже перечислены успешные запросы в ARIN на выделение диапазонов IP, а продавать адреса Голестан начал с 2017 года.

Согласно пресс-релизу ARIN ^[1], Micfo зарегистрировала 11 подставных компаний по всей территории США и намеренно создавала ложные личности для вымышленных руководителей этих компаний, чтобы мошеннически выманить у ARIN ресурсы IPv4.

«Это была сложная операция, — сказал ^[5] Стефен Райан (Stephen Ryan), бывший федеральный прокурор, который в данном судебном процессе представлял интересы ARIN. — Все одиннадцать подставных компаний для Micfo всё ещё находятся в интернете, где вы видите всех этих замечательных людей, которые якобы там работают. А мы получали нотариально заверенные аффидавиты на эти вымышленные имена».

Независимые эксперты говорят, что Micfo — не единственный теневой брокер, который обманом выманил подсети у ARIN. На протяжении многих лет Американский регистратор интернет-номеров не очень активно боролся с мошенничеством.

Возможно, схемы с подставными компаниями действуют и в России, хотя таких массовых изъятий подсетей у теневых брокеров ещё не происходило. Чтобы претендовать на получение блока /22 адресов IPv4 у европейского регистратора RIPE NCC, нужно зарегистрироваться в качестве локальной регистратуры интернета ^[6] (LIR) и оплатить членский взнос. Статус LIR обычно получают интернет-провайдеры, телекоммуникационные компании, крупные предприятия и академические институты. LIR получают блоки адресов от RIPE NCC и присваивают IP-адреса своим клиентам.

В России работают консалтинговые компании, которые помогают клиентам зарегистрировать LIR за небольшую сумму в районе 36 000 руб. (плюс 15 тыс. руб. ежегодная поддержка). Очевидно, что стоимость блока /22 адресов IPv4 гораздо выше даже по минимальной оценке $12 за штуку. Блоки /22 продаются и сдаются в аренду ^[7].

Вполне возможно, что кто-то занимается подобным бизнесом. По статистике за 2012−2018 годы ^[8], скорость выделения адресов IPv4 в Европе росла в соответствии с квадратичной функцией. RIPE NCC объясняет это тем, что регистрировалось всё больше и больше локальных регистраторов. Рекордное количество новых LIR зарегистрировано в Великобритании, Германии и России.

В ноябре 2015 года RIPE запретил регистрацию дополнительных локальных регистраторов членами RIPE NCC ^[9], но это не помогло, так что в мае 2016 года ограничение сняли. К этому моменту организации начали регистрировать новые юридические лица, чтобы получить блоки /22. Как сообщается, некий член RIPE NCC сумел получить 66 блоков /22, хотя выдавали только по одному на каждого локального регистратора.

Год назад RIPE объявила о распределении последнего блока /22 из последнего блока /8 ^[10], но в пуле RIPE NCC осталось 9 млн ^[11] «восстановленных» адресов (то есть адресов, изъятых у бывших владельцев). По расчётам Координационного центра, этого хватит ещё примерно на два года, если выдавать локальным регистраторам по /22 каждому.

Очень многие организации зарегистрировали на себя огромные по нынешним временам диапазоны IPv4, которые практически не используют и не собираются отдавать (например, 16,8 млн адресов в блоке 44.0.0.0/8, зарегистрированных якобы для любительского радио ^[12], или 218 млн IP-адресов у Министерства обороны США: 11.0.0.0/8, 22.0.0.0/8, 26.0.0.0/8, 28.0.0.0/8, 29.0.0.0/8, 30.0.0.0/8 и 33.0.0.0/8 ).

Другие блоки используются очень интенсивно. Например, визуализация кривыми Гильберта ^[13] хорошо показывает, как распределено адресное пространство из примерно 4,2 млрд (2³²) адресов.

^[14]
Распределение адресного пространства IPv4, апрель 2018 года (кликабельна ^[15])

Для сравнения, вот как выглядит распределение адресного пространства IPv6.

Распределение адресного пространства IPv6, апрель 2018 года

Автор: GlobalSign_admin

Источник ^[17]