WikiLeaks. Несколько мыслей

Приветствую, уважаемый читатель!

Недавно на портале WikiLeaks выложили большое количество хакерских инструментов и методик ЦРУ, с помощью которых, предположительно, они взламывают всё и вся. Дополнительно был выложен список IP-адресов публичных DNS-резолверов, о нём и поговорим.

Честно говоря, цель этого списка мне до конца не ясна, зачем ЦРУ адреса 5,822 резолверов. Идеи две:

• Данные резолверы каким-либо образом скомпрометированы. 
• Данные резолверы используются в осуществлении DDoS-атаках (DNS-amplification).

Скачать список резолверов можно тут - https://wikileaks.org/ciav7p1/cms/page_3375132.html . Загрузив его в Splunk как CSV-файл с разделителем pipe (|), можно получить список стран, чьи DNS-резолверы интересны ЦРУ:

source="CIAip.csv"

| iplocation allfields=true IP

| stats count by IP,Country

| eval country = Country

| table country

| dedup country

Albania

Algeria

Andorra

Argentina

Armenia

Australia

Austria

Azerbaijan

Bahrain

Belarus

Belgium

Bosnia and Herzegovina

Botswana

Brazil

Bulgaria

Canada

Cape Verde

China

Colombia

Croatia

Curaçao

Cyprus

Czech Republic

Denmark

Egypt

Estonia

Finland

France

Georgia

Germany

Greece

Hashemite Kingdom of Jordan

Hong Kong

Hungary

Iceland

India

Indonesia

Iran

Ireland

Israel

Italy

Japan

Jersey

Kazakhstan

Kenya

Kuwait

Kyrgyzstan

Latvia

Lesotho

Liechtenstein

Luxembourg

Macedonia

Malta

Mexico

Monaco

Montenegro

Netherlands

New Zealand

Nigeria

Norway

Oman

Pakistan

Palestine

Poland

Portugal

Qatar

Republic of Lithuania

Republic of Moldova

Romania

Russia

Réunion

San Marino

Saudi Arabia

Serbia

Slovak Republic

Slovenia

Spain

Sweden

Switzerland

Taiwan

Thailand

Turkey

Ukraine

United Kingdom

United States

Теперь отобразим их на карте в Splunk:

| inputlookup geo_attr_countries

| search [search source="CIAip.csv"

| iplocation allfields=true IP

| stats count by IP,Country

| eval country = Country

| table country

| dedup country]

| fields country,region_un

| geom geo_countries featureIdField=country

Как видно, тут вся Европа, почти вся Азия и Америка, пара стран Африки. Предположим, что данные DNS-резолверы всё-таки скомпрометированы и им нет доверия, но как их проверить?

Для проверки этого тезиса я воспользовался IDS Maltrail, отправил по одному DNS-запросу к каждому резолверу и пропинговал их. Никакой тысячи алертов не получил J

Исходя из этого, думаю, данные резолверы могли использоваться в осуществлении DDoS-атак.