負(fù)責(zé)將 IP 地址分配給非洲企業(yè)和其他組織的非盈利組織的高管被控告秘密經(jīng)營(yíng)著幾家不同的公司，通過(guò)這些公司向他人出售了價(jià)值數(shù)千萬(wàn)美元的 IP 地址資源。該案件由美國(guó)研究人員在為期三年的調(diào)查中發(fā)現(xiàn)，該調(diào)查研究了經(jīng)常被垃圾郵件和網(wǎng)絡(luò)罪犯使用的資源。

[[325449]]

可用的 IPv4 地址少于 40 億個(gè)，其中的絕大多數(shù)已經(jīng)分配完畢。全球可用 IP 地址的匱乏導(dǎo)致 IP 地址已經(jīng)成為了一種商品，每個(gè) IP 地址在公開市場(chǎng)的售價(jià)都在 15 到 25 美元之間。從事 IP 地址銷售的人都從中獲益良多，同樣的，那些專門從事網(wǎng)絡(luò)犯罪與垃圾郵件的也想要未經(jīng)所有者允許利用那些“休眠”的 IP 地址。

住在加利福尼亞的獨(dú)立安全研究員 Ron Guilmette 自從 2016 年以來(lái)，一直在追蹤留給非洲的 IP 地址塊。這些 IP 地址塊以某種方式流轉(zhuǎn)到了基于互聯(lián)網(wǎng)的營(yíng)銷公司的手中。

調(diào)查過(guò)程中，Guilmette 發(fā)現(xiàn)許多 IP 地址都是通過(guò)不存在的或者幾年前被其他公司收購(gòu)的非洲企業(yè)處轉(zhuǎn)手的。Guilmette 估計(jì)，總共涉及的被盜 IP 地址超過(guò)五千萬(wàn)美元。

通過(guò)與在南非的記者進(jìn)行合作，Guilmette 發(fā)現(xiàn)了成千上萬(wàn)個(gè) IP 地址被盜。這些 IP 地址被 AFRINIC 的政策協(xié)調(diào)人(Policy Coordinator)創(chuàng)立的幾家公司售出的。(注：AFRINIC 是世界上五個(gè)區(qū)域互聯(lián)網(wǎng)注冊(cè)管理機(jī)構(gòu)之一，負(fù)責(zé)處理非洲和印度洋地區(qū)的 IP 地址分配事務(wù))

Ernest Byaruhanga 是 2004 年第二個(gè)入職 AFRINIC 的人。2019 年 10 月，在南非科技新聞刊物 Mybroadband.co.za 的記者 Jan Vermeulen 首次披露關(guān)于 IP 地址的事件后，Ernest Byaruhanga 就突然辭職了。Jan Vermeulen 是 Guilmette 在南非的合作人，協(xié)助 Guilmette 的研究。

后續(xù)向 AFRINIC 新任首席執(zhí)行官 Eddy Kayihura 求證時(shí)，他表示組織已經(jīng)了解這些指控，目前正針對(duì)此事展開調(diào)查。Kayihura 表示“由于調(diào)查仍然在進(jìn)行中，我們不能在調(diào)查完成后公開聲明發(fā)表前透漏其他任何消息”，“Byauhanga 的辭職信中并沒有提及具體原因，但不會(huì)有人因?yàn)檎J(rèn)為這兩起事件有關(guān)而受到指責(zé)”。

Guilmette 表示，他發(fā)現(xiàn)了 AFRINIC 中的某個(gè)人可能也牽扯其中。他發(fā)現(xiàn)有記錄顯示，AFRINIC 的官方文件已經(jīng)被修改過(guò)了。變更了曾經(jīng)分配給 Infoplan(現(xiàn)為 Network and Information Technology Ltd) 的 IP 地址塊的所有權(quán)，該公司于 1998 年被劃入國(guó)家 IT 機(jī)構(gòu)。

Guilmette 認(rèn)為這個(gè)人一直在轉(zhuǎn)移 IP 地址然后進(jìn)行出售。多年來(lái) Guilmette 一直在公開討論區(qū)發(fā)布他發(fā)現(xiàn)的證據(jù)。例如 Guilmette 在烏干達(dá)政府獲得的文件顯示，Byaruhanga 在入職 AFRINIC 后注冊(cè)了一家名為 ipv4leasing 的公司。domaintools.com 的歷史 whois 記錄顯示，Byaruhanga 早在 2013 年就是與該公司有關(guān)的兩個(gè)域名(ipv4leasing.org 和 ipv4leasing.net)的注冊(cè)人。

Guilmette 與合作的南非記者發(fā)現(xiàn)了許多與 Byaruhanga 及其直系親屬有關(guān)的其他公司。這些公司似乎一直秘密地向其他人出售 AFRINIC 的 IP 地址塊。針對(duì) ipv4leasing 的調(diào)查十分重要，這證明了這種買賣對(duì)垃圾郵件發(fā)送者和網(wǎng)絡(luò)罪犯的運(yùn)營(yíng)至關(guān)重要，這些犯罪分子需要不斷地更換大量 IP 地址維持運(yùn)營(yíng)。

根據(jù) AFRINIC 的歷史記錄可以發(fā)現(xiàn) ipv4leasing.org 至少與 6 個(gè)相當(dāng)大規(guī)模的 IP 地址塊相關(guān)。這些 IP 地址塊曾經(jīng)屬于喀麥隆一家名為 ITC 已經(jīng)倒閉的公司，也叫Afriq*Access.。

2013 年，反垃圾郵件組織 Spamhaus.org 開始跟蹤曾經(jīng)屬于 Afriq*Access 的 IP 地址塊發(fā)出的垃圾郵件激增。Spamhaus 表示，最終可以將這些垃圾郵件中推銷廣告的域名追溯到 Adconion Direct 公司，這是一家總部位于美國(guó)的電子郵件營(yíng)銷公司。目前該公司的幾位高管都面臨聯(lián)邦刑事指控，涉嫌向他人支付費(fèi)用，大規(guī)模劫持 IP 地址從事垃圾郵件活動(dòng)。

對(duì) Guilmette 調(diào)查感興趣的人可以查看 MyBroadband 的新聞《價(jià)值 5400 萬(wàn)美元的互聯(lián)網(wǎng)資源如何被盜出售》