DDoS-Guard может лишиться более 8 тысяч адресов, которые компания сдает в аренду клиентам, включая адрес, который в настоящее время занимает социальная сеть Parler. Сбой в работе DDoS-Guard и Parler, если он произойдет, будет результатом деятельности исследователя Рона Гильметта.

На этой неделе стало известно, что российская компания DDoS-Guard предоставила хостинговые услуги опальной соцсети Parler после того, как Apple и Google удалили приложение Parler из своих магазинов, а Amazon отключила платформу от своего хостинга Amazon Web Services. 

Как поясняет Брайан Кребс, подобно компании CloudFlare, DDoS-Guard не размещает сайты напрямую, а вместо этого действует как посредник, чтобы одновременно сохранять конфиденциальность реальных интернет-адресов своих клиентов и защищать их от DDoS-атаки. Большинство сотрудников DDoS-Guard находятся в России, но компания зарегистрирована еще в двух местах — в Шотландии под именем Cognitive Cloud LLP и в Белизе как DDoS-Guard Corp. Изучив более 11 тыс. интернет-адресов, присвоенных этим двум компаниям, исследователь Рон Гильметт обнаружил, что примерно 66% из них были выданы юрлицу в Белизе региональным интернет-реестром для регионов Латинской Америки и Карибского бассейна LACNIC; при этом DDoS-Guard не упоминает латиноамериканский регион на своей карте глобальных операций.

Гильметт пришел к выводу, что DDoS-Guard зарегистрирована в Белизе только на бумаге — для того, чтобы получить IP-адреса, которые должны предоставляться только организациям, физически присутствующим в регионе. По поводу своих подозрений Гильметт еще в ноябре подал жалобу в интернет-реестр.

LACNIC пообещал провести расследование и предупредил, что вынесение судебного решения по этому вопросу может занять до трех месяцев. Но ранее на этой неделе LACNIC опубликовал на своем сайте уведомление о том, что он намерен отозвать у DDoS-Guard 8 192 адреса IPv4, включая интернет-адрес, присвоенный Parler. Адреса будут аннулированы 24 февраля.

Генеральный директор DDoS-Guard Евгений Марченко подтвердил, что DDoS-Guard действительно присутствует в Белизе, и подчеркнул, что компания не нарушила никаких законов.

«В нашей деятельности нет ничего незаконного или экстремистского. У нас есть работодатели и представители в разных странах по всему миру, потому что мы предоставляем глобальные услуги. И регион Латинской Америки не исключение», — пояснил Марченко в электронном письме Кребсу.

Гильметт уточнил, что DDoS-Guard может переместить Parler и другие сайты, находящиеся в этих диапазонах адресов, в другую часть своей сети. Но он, тем не менее, считает победой реакцию регионального регистратора.

«Мне показалось, что компания получила эти 8000+ IPv4-адресов, создав подставную компанию в Белизе, чтобы уверить LACNIC, что они действительно присутствуют в Южноамериканском регионе, и только после этого запросив адреса, — заявил он в комментарии Брайану Кребсу. — Итак, я сообщил о своих подозрениях в LACNIC в начале ноября, и, похоже, власти подтвердили мои подозрения».

В октябре KrebsOnSecurity освещал расследование Гильметта, касающееся группы сайтов, связанных с QAnon и 8kun (ранее 8chan). Как писал Кребс, выяснилось, что доступ в интернет сайтам 8kun и QAnon предоставлял американский провайдер Vanwatech, партнерами которого были американская компания CNServers и британская Spartan Host. После того, как хостинговые компании узнали, что Vanwatech связана с QAnon, они прекратили сотрудничество с Vanwatech. В результате QAnon переключился на услуги DDoS-Guard. Последняя также отказалась оказывать услуги Vanwatech после информации о том, что 8chan и QAnon могли быть связаны с беспорядками в Капитолии 6 января.

Ранее Гильметт потратил почти три года на расследование присвоения адресов IPv4 на $50 миллионов частным компаниям в Африке. Его жалобы в Африканский сетевой информационный центр (AFRINIC) вылились в более масштабное расследование. В результате один из руководителей AFRINIC, который, как выяснилось, продавал адреса для личной выгоды маркетологам из Европы и Азии, был уволен. На этой неделе AFRINIC официально задокументировал степень ущерба, нанесенного его бывшим сотрудником, и отозвал адреса, которые использовали частные компании. Центр сообщил, что более 2,3 миллиона адресов были «незаконно присвоены из пула ресурсов AFRINIC и приписаны организациям без каких-либо оснований».