价值五千万美元的非洲IP地址盗窃案

即将开播：5月14日，Jenkins在K8S下的三种部署流程和实战演示

负责将 IP 地址分配给非洲企业和其他组织的非盈利组织的高管被控告秘密经营着几家不同的公司，通过这些公司向他人出售了价值数千万美元的 IP 地址资源。该案件由美国研究人员在为期三年的调查中发现，该调查研究了经常被垃圾邮件和网络罪犯使用的资源。

可用的 IPv4 地址少于 40 亿个，其中的绝大多数已经分配完毕。全球可用 IP 地址的匮乏导致 IP 地址已经成为了一种商品，每个 IP 地址在公开市场的售价都在 15 到 25 美元之间。从事 IP 地址销售的人都从中获益良多，同样的，那些专门从事网络犯罪与垃圾邮件的也想要未经所有者允许利用那些“休眠”的 IP 地址。

住在加利福尼亚的独立安全研究员 Ron Guilmette 自从 2016 年以来，一直在追踪留给非洲的 IP 地址块。这些 IP 地址块以某种方式流转到了基于互联网的营销公司的手中。

调查过程中，Guilmette 发现许多 IP 地址都是通过不存在的或者几年前被其他公司收购的非洲企业处转手的。Guilmette 估计，总共涉及的被盗 IP 地址超过五千万美元。

通过与在南非的记者进行合作，Guilmette 发现了成千上万个 IP 地址被盗。这些 IP 地址被 AFRINIC 的政策协调人(Policy Coordinator)创立的几家公司售出的。(注：AFRINIC 是世界上五个区域互联网注册管理机构之一，负责处理非洲和印度洋地区的 IP 地址分配事务)

Ernest Byaruhanga 是 2004 年第二个入职 AFRINIC 的人。2019 年 10 月，在南非科技新闻刊物 Mybroadband.co.za 的记者 Jan Vermeulen 首次披露关于 IP 地址的事件后，Ernest Byaruhanga 就突然辞职了。Jan Vermeulen 是 Guilmette 在南非的合作人，协助 Guilmette 的研究。

后续向 AFRINIC 新任首席执行官 Eddy Kayihura 求证时，他表示组织已经了解这些指控，目前正针对此事展开调查。Kayihura 表示“由于调查仍然在进行中，我们不能在调查完成后公开声明发表前透漏其他任何消息”，“Byauhanga 的辞职信中并没有提及具体原因，但不会有人因为认为这两起事件有关而受到指责”。

Guilmette 表示，他发现了 AFRINIC 中的某个人可能也牵扯其中。他发现有记录显示，AFRINIC 的官方文件已经被修改过了。变更了曾经分配给 Infoplan(现为 Network and Information Technology Ltd) 的 IP 地址块的所有权，该公司于 1998 年被划入国家 IT 机构。

Guilmette 认为这个人一直在转移 IP 地址然后进行出售。多年来 Guilmette 一直在公开讨论区发布他发现的证据。例如 Guilmette 在乌干达政府获得的文件显示，Byaruhanga 在入职 AFRINIC 后注册了一家名为 ipv4leasing 的公司。domaintools.com 的历史 whois 记录显示，Byaruhanga 早在 2013 年就是与该公司有关的两个域名(ipv4leasing.org 和 ipv4leasing.net)的注册人。

Guilmette 与合作的南非记者发现了许多与 Byaruhanga 及其直系亲属有关的其他公司。这些公司似乎一直秘密地向其他人出售 AFRINIC 的 IP 地址块。针对 ipv4leasing 的调查十分重要，这证明了这种买卖对垃圾邮件发送者和网络罪犯的运营至关重要，这些犯罪分子需要不断地更换大量 IP 地址维持运营。

根据 AFRINIC 的历史记录可以发现 ipv4leasing.org 至少与 6 个相当大规模的 IP 地址块相关。这些 IP 地址块曾经属于喀麦隆一家名为 ITC 已经倒闭的公司，也叫Afriq*Access.。

2013 年，反垃圾邮件组织 Spamhaus.org 开始跟踪曾经属于 Afriq*Access 的 IP 地址块发出的垃圾邮件激增。Spamhaus 表示，最终可以将这些垃圾邮件中推销广告的域名追溯到 Adconion Direct 公司，这是一家总部位于美国的电子邮件营销公司。目前该公司的几位高管都面临联邦刑事指控，涉嫌向他人支付费用，大规模劫持 IP 地址从事垃圾邮件活动。

对 Guilmette 调查感兴趣的人可以查看 MyBroadband 的新闻《价值 5400 万美元的互联网资源如何被盗出售》