À ce jour, beaucoup d’entre vous, fidèles lecteurs de BreachTrace, ont vu des articles dans la presse grand public sur le démantèlement coordonné des forces de l’ordre à l’échelle mondiale de Darkode[dot]moi, un forum anglophone sur la cybercriminalité qui a servi de terrain fertile pour les botnets, les logiciels malveillants et à peu près toutes les autres formes de méchanceté virtuelle. Ce message est une tentative de distiller plusieurs années de cachette sur ce forum dans un récit qui, espérons-le, fera la lumière sur les individus appréhendés dans cette piqûre et sur la scène du forum sur la cybercriminalité en général.
Pour raconter complètement cette histoire, il faudrait un livre de la taille de la Bible, mais il est utile de noter que l’histoire de Darkode – anciennement darkode[dot]com – retrace plusieurs époques distinctes qui suivent assez bien l’ascension et la chute des différents dirigeants du forum. Ce qui suit est une brève série de dossiers sur ces dirigeants, ainsi qu’un regard sur qui sont ces personnes dans la vraie vie.
ISERDO
Darkode a commencé il y a près de huit ans en tant que projet favori de Matjaz Skorjanc, un hacker slovène de 36 ans, plus connu sous le hacker alisas « Iserdo ». Skorjanc était l’une des nombreuses personnes nommées dans les plaintes publiées aujourd’hui par le ministère américain de la Justice.
Les clients de Butterfly Bot se demandent pourquoi Iserdo ne répond pas aux demandes d’assistance. Il a été arrêté quelques heures auparavant.
Iserdo était surtout connu comme l’auteur du ButterFly Bot, une souche de logiciels malveillants plug-and-play qui permettait même aux cybercriminels les plus novices de mettre en place une opération de cybercriminalité mondiale capable de récolter des données à partir de milliers de PC infectés et d’utiliser les systèmes asservis pour paralyser les attaques sur les sites Web. Iserdo était arrêté par les autorités slovènes en 2010. Selon les enquêteurs, son kit ButterFly Bot s’est vendu à des prix allant de 500 $ à 2 000 $.
En mai 2010, j’ai écrit un article intitulé Accused Mariposa Botnet Operators Sought Jobs at Spanish Security Firm, qui détaillait comment plusieurs des associés présumés de Skorjanc avaient effectivement postulé pour des emplois chez Sécurité Panda, une société d’antivirus et de sécurité basée en Espagne. A l’époque, Skorjanc et ses copains étaient déjà sous l’œil attentif de la police espagnole.
MAFI
Après l’arrestation d’Iserdo, le contrôle du forum est revenu à un hacker connu sous les noms de « Mafi », « Crim » et « Synthet ! c », qui, selon le Département américain de la justice est un Suédois de 27 ans nommé Johan Anders Gudmunds. Mafi est accusé d’être l’administrateur de Darkode et d’avoir créé et vendu des logiciels malveillants permettant aux pirates de créer des botnets. Le ministère de la Justice allègue également que Gudmunds exploitait son propre botnet, « qui se composait parfois de plus de 50 000 ordinateurs, et utilisait son botnet pour voler des données aux utilisateurs de ces ordinateurs à environ 200 000 000 occasions ».
Mafi était surtout connu pour avoir créé le kit d’exploitation Crimepack, un ensemble préemballé de logiciels criminels commerciaux que les attaquants peuvent utiliser pour piéger des sites Web piratés avec des logiciels malveillants. La direction de Mafi sur le forum a coïncidé avec l’admission de plusieurs cybercriminels russes de haut niveau, dont « Paunch », un individu arrêté en Russie en 2013 pour avoir vendu un kit d’exploitation concurrent et beaucoup plus populaire appelé Blackhole.
Paunch a travaillé avec un autre membre de Darkode nommé « JP Morgan », qui à un moment donné a maintenu un budget de 800 000 $ pour l’achat de soi-disant « vulnérabilités du jour zéro », des failles critiques dans des logiciels commerciaux largement utilisés comme Flash et Java qui pourraient être utilisés pour déployer logiciel malveillant.
L’administrateur de Darkode « Mafi » explique son système de filigrane.
Sans surprise, le règne de Mafi en tant qu’administrateur de Darkode a coïncidé avec l’infiltration massive du forum par un certain nombre d’enquêteurs infiltrés des forces de l’ordre, ainsi que par plusieurs chercheurs indépendants en sécurité (dont cet auteur).
En conséquence, Mafi a passé une grande partie de son temps à concevoir de nouvelles façons de découvrir quels comptes d’utilisateurs sur Darkode étaient ceux utilisés par les informateurs, les autorités fédérales et les chercheurs, et quels étaient les cybercriminels « légitimes » cherchant à vendre leurs marchandises.
Par exemple, à la mi-2013, Mafi et ses associés ont concocté un stratagème pour créer un faux fil de vente pour une vulnérabilité zero-day – le tout dans le but de découvrir quels participants au forum étaient des chercheurs ou des fédéraux qui pourraient se cacher sur le forum.
Ce plan, qui reposait sur un schéma de filigrane intelligent conçu pour « exclure » tous les membres du forum qui publiaient des captures d’écran du forum en ligne, a bien fonctionné, mais a également donné aux enquêteurs des indices clés sur la hiérarchie et la structure hiérarchique du forum.
Mafi a travaillé en étroite collaboration avec un autre membre éminent de Darkode surnommé « Fubar », et ensemble, les deux ont annoncé la vente d’un package de botnet crimeware appelé Ngrbot (selon les messages privés de Mafi sur le forum, c’était l’abréviation de « Niggerbot ». Les bases de données de mots de passe de plusieurs des comptes de Mafi sur des forums de cybercriminalité piratés incluaient des variantes du mot « nègre » sous une forme ou une autre). Mafi a également annoncé la vente de botnets basés sur « Grum », un botnet de spam dont le code source a été divulgué en 2013.
SP3CIAL1ST
Remarquablement absente du communiqué de presse du ministère de la Justice sur ce retrait, il y a toute mention du dernier administrateur de Darkode – un hacker qui passe par le pseudo « Sp3cial1st ».
Mieux connu des membres de Darkode sur « Sp3c », la principale contribution de cet individu au forum semble avoir tourné autour d’un désir d’élargir massivement l’adhésion au formulaire, ainsi que d’une obsession de purger la communauté de toute personne qui, même à distance, pourrait émettre un odeur d’être un fed ou un chercheur.
La signature personnelle de Sp3cial1st.
Sp3c est un membre bien connu de la Lizard Squad, un groupe de mécréants pour la plupart peu qualifiés qui se spécialisent dans le lancement d’attaques par déni de service distribuées (DDoS) visant à mettre hors ligne des sites Web.
Fin 2014, la Lizard Squad a pris la responsabilité de lancer une série d’attaques DDoS très médiatisées qui ont mis hors ligne les réseaux de jeux en ligne de Sony et Microsoft pendant la majeure partie du jour de Noël.
Au cours des premiers jours de 2015, BreachTrace a été mis hors ligne par une série d’attaques par déni de service importantes et soutenues apparemment orchestrées par le Lizard Squad. Comme je l’ai noté dans une histoire précédente, le service de démarrage – stresseur de lézards[dot]su — était hébergé chez un fournisseur d’accès Internet en Bosnie qui héberge un grand nombre de sites malveillants et hostiles. Comme détaillé dans cette histoire, le même botnet qui a mis Sony et Microsoft hors ligne a été construit à l’aide d’un réseau mondial de routeurs sans fil piratés.
Ce fournisseur se trouve être sur le même réseau d’hébergement « à l’épreuve des balles » annoncé par sp3cial1st. À l’époque, Darkode et LizardStresser partageaient la même adresse Internet.
KMS
Une autre personne clé nommée dans la plainte du ministère de la Justice contre Darkode est un hacker connu dans la clandestinité sous le nom de « KMS.” Le gouvernement dit que KMS est un homme de 28 ans d’Opelousas, en Louisiane, nommé Rory Stephen Guidryqui a utilisé l’adresse de messagerie instantanée Jabber « [email protected].” Ayant interagi avec cet individu à de nombreuses reprises, je m’en voudrais de ne pas expliquer pourquoi cette personne est peut-être la moins coupable et pourtant la plus intéressante du groupe nommé dans la purge des forces de l’ordre.
Au cours des 12 derniers mois, KMS a été impliqué dans un effort pour exposer les membres de Lizard Squad, à des degrés divers de succès. Il y a peu d’individus que je considérerais plus habiles que ce type pour inciter les gens à divulguer des informations qui ne sont pas dans leur meilleur intérêt.
Pour autant que je sache, KMS a travaillé assidûment pour exposer les personnes derrière la Lizard Squad et, par extension, les principaux membres de Darkode. Malheureusement pour KMS, ses activités semblent également l’avoir pris au piège dans cette enquête.
Pour être clair, personne ne dit que KMS est un saint. Le meilleur ami de KMS, un hacker du Kentucky nommé Ryan King (alias « Starfall » et commentateur semi-fréquent sur ce blog), dit que KMS avait régulièrement du mal à voir les limites entre exposer les autres et s’impliquer dans leurs activités. Voici un enregistrement de lui faisant un faux appel d’urgence au FBIdéguisant sa voix en celle du président Obama.
Selon les rumeurs, KMS aurait joué un rôle dans la révélation du piratage du domaine de Google.com par la Lizard Squad en février 2015 au Vietnam. Le message laissé par ce crime suggérait que cet auteur était en quelque sorte responsable, avec Sp3c et un Rory Andrew Godfrey, le seul nom sous lequel KMS était connu publiquement jusqu’à l’action des forces de l’ordre de cette semaine.
« Pour autant que je sache, je suis le seul à connaître son vrai nom », a déclaré King. « Les seuls botnets qu’il exploitait étaient ceux qu’il avait créés à partir de [less skilled hackers], mais même ceux qu’il essayait de se faire arrêter. Tout ce que je sais, c’est que lui et moi essayions d’obtenir [root] accéder à Darkode et le détruire, et les fédéraux nous ont devancés d’environ une semaine.
Le gouvernement américain voit les choses autrement. Inclus dans un affidavit fortement expurgé (PDF) liés au cas de Guidry sont les détails d’une structure de prix que les enquêteurs disent que KMS utilisait pour vendre l’accès aux machines piratées (voir capture d’écran ci-dessous)
De nombreuses autres personnes opérant sous un certain nombre de noms de pirates ont été appelées dans le communiqué de presse du ministère de la Justice à propos de cette action. Peut-être que certains d’entre eux sont mentionnés dans ce sous-ensemble de mes archives personnelles de captures d’écran de Darkode, hébergé ici. Bonne chasse.
Une dernière remarque : comme c’est le cas avec beaucoup de ces démontages, les méchants ne s’en vont pas simplement : ils vont ailleurs. Dans ce cas, cet autre endroit est le plus susceptible d’être un Web profond ou Web sombre forum accessible uniquement via Tor : Selon les discussions observées à partir des comptes en ligne publics et privés de Sp3c, le forum s’apprête à aller beaucoup plus loin dans la clandestinité.
Le communiqué de presse du ministère de la Justice sur cette action est iciqui comprend des liens vers des documents d’inculpation sur la plupart des accusés.
Mise à jour, 20 h 55 HE : Suppression d’un fragment de phrase qui confondait Iserdo avec d’autres personnes liées à son acte d’accusation.
