Un homme de 17 ans de Londres, en Angleterre, a plaidé coupable cette semaine pour avoir mené une attaque massive par déni de service l’année dernière contre un équipement anti-spam SpamHaus et réseau de diffusion de contenu Cloud Flarea appris BreachTrace.
Fin mars 2013, une attaque massive par déni de service distribué (DDoS) a frappé le site Web de SpamHaus, une organisation qui distribue une liste noire de spammeurs aux fournisseurs de messagerie et de réseau. Lorsque SpamHaus a déplacé ses serveurs derrière CloudFlare, qui se spécialise dans le blocage de telles attaques, les attaquants ont bombardé le réseau de CloudFlare. Le New York Times appelé l’assaut combiné, la plus grande attaque DDoS jamais connue sur Internet à l’époque ; pour sa part, CloudFlare doublé c’est « l’attaque qui a failli casser Internet ».
En avril 2013, un homme anonyme de Londres, alors âgé de 16 ans, identifié uniquement par son pseudonyme de hacker « Narko», a été arrêté et accusé d’utilisation abusive d’ordinateurs et de blanchiment d’argent en lien avec l’attaque.
Des sources proches de l’enquête disent maintenant à BreachTrace que Narko a plaidé coupable à ces accusations, et que le vrai nom de Narko est Sean Nolan Mc Donough. Un porte-parole de la Agence nationale du crime du Royaume-Uni a confirmé qu’un homme de 17 ans de Londres avait plaidé coupable à ces accusations le 10 décembre, mais a noté que «des restrictions de déclaration au tribunal sont en place à l’égard d’un délinquant juvénile, [and] en conséquence, la NCA ne publiera pas plus de détails.
Lors de l’assaut sur SpamHaus, Narko a été répertorié comme l’un des nombreux modérateurs du forum Stophaus[dot]comune équipe hétéroclite d’hacktivistes, de spammeurs et de fournisseurs d’hébergement à toute épreuve qui s’attribuent le mérite d’avoir organisé l’attaque contre SpamHaus et CloudFlare.
QUI DIRIGE STOPHAUS ?
Il est probable que McDonough/Narko ait été embauché par quelqu’un d’autre pour mener l’attaque. Donc, cela semble être le moment idéal pour approfondir la question de savoir qui est probablement le fondateur et le moteur du mouvement Stophaus lui-même. Tous les signes pointent vers un spammeur en colère et raté vivant en Floride qui dirige une organisation qui se fait appeler le Église du bien commun.
Peu de temps après l’arrestation de McDonough, une nouvelle page Facebook a été mise en ligne appelée « Freenarko« , qui s’est présenté comme « un groupe de soutien solidaire pour aider à la défense juridique et à la stabilité des médias pour » Narko « , un frère de 16 ans à Londres qui fait face à des accusations concernant l’attaque DDoS de Spamhaus en mars ».
Plusieurs articles sur cette page renvoient à la propagande de Stophaus, à la page Facebook de l’Église du Bien Communet à un site Web aujourd’hui disparu appelé « WeAreHomogeneous.org » (une copie révélatrice et archivée du site tel qu’il existait au début de 2013 est disponible sur archive.org; pour le meilleur ou pour le pire, le groupe la page Facebook vit sur).
L’Église du bien commun répertorie comme son chef un homme de Gulfport, en Floride, nommé Andrew J. Stephensà qui Page LinkedIn dit qu’il est un « mercenaire des médias » dans la même organisation (quelques heures après la publication de cette histoire, de gros morceaux de texte ont été supprimés du profil de Stephens ; un PDF du profil original est ici).
Le CV de Stephens répertorie un passage en 2012 en tant que propriétaire d’une entreprise de marketing par e-mail appelée diversement Dollars numériques et IBT inc., des schémas rémunérateurs que Stephens décrit comme un « guide de niveau débutant à intermédiaire pour un marketing de liste réussi dans l’environnement de messagerie électronique d’aujourd’hui. Il incorpore l’utilisation à la fois du chapeau blanc et de certaines techniques sommaires que vous trouverez sur les forums du chapeau noir, mais a évité tout ce qui est illégal ou contraire à l’éthique… que vous trouverez également sur les forums du chapeau noir.
Entrées plus récentes dans Profil LinkedIn d’André montrent qu’il considère désormais son travail actuel comme un « ingénieur social ». De sa page :
« Je suis ce que vous pourriez appeler un « ingénieur social » et j’ai travaillé pour plusieurs équipes de sécurité de l’information. Mon opération la plus récente a eu lieu avec une équipe de recherche effectuant des analyses de propagande pour une entreprise de médias. J’ai une capacité unique à accéder à des données qui sont généralement inaccessibles via l’ingénierie sociale et à utiliser cette capacité pour collecter des données à des fins de recherche. J’ai un don pour l’exploration et l’analyse de données, mais je n’ai pas été formellement formé, je suis donc capable de sortir des sentiers battus et d’atteindre des objectifs que les étudiants traditionnels en infosec ne pouvaient pas atteindre. Je maîtrise la planification stratégique et l’analyse des vulnérabilités et je suis souvent occupé à disséquer les logiciels malveillants et à traquer les criminels derrière ces logiciels. Il n’y a pas vraiment de titre pour ce que je fais, mais je le fais bien, me dit-on.
Il s’avère qu’Andrew J. Stephens avait son propre site Web – andrewstephens.org. Ici, l’indispensable archive.org aide à nouveau avec une cache de son site depuis son lancement en 2011 (curieusement, la même année que Stophaus prétend être né). Sur sa page, M. Stephens se présente comme un « entrepreneur Internet » et son entreprise comme « IBT ». Sous sa rubrique « Featured Work », il énumère « The Stophaus Project », « Blackhat Learning Center » et un lien vers un outil logiciel de spam appelé « Quick Send v.1.0 ».
Stephens n’a pas renvoyé les demandes de commentaires envoyées à ses différentes adresses de contact, bien qu’un individu combatif qui utilise le pseudo Twitter @Stophaus et qui a fait la promotion de la campagne du groupe ait refusé de répondre aux questions directes pour savoir s’il était en fait Andrew J. Stephens.
Utilement, la version en cache de Andrewstephens.org répertorie une adresse e-mail de contact en haut de la page : [email protected] (« Stephensboy » est le nom abrégé/informel du profil LinkedIn d’Andrew J. Stephens). Une recherche d’enregistrement d’enregistrement de domaine historique achetée auprès de Domaintools.com montre que la même adresse e-mail a été utilisée pour enregistrer plus de deux douzaines de domaines, y compris stophaus.org et stopthehaus.org. Les autres domaines et entreprises enregistrés par cet e-mail incluent (les domaines hyperliens ci-dessous renvoient aux versions archive.org du site):
-“blackhatwebhost.com« ;
-« bphostingservers.com » (« BP » est une abréviation courante pour les services « d’hébergement à l’épreuve des balles » vendus aux spammeurs et aux fournisseurs de logiciels malveillants) ;
-« conveyemail.com » ;
-« datapacketz.com » (un autre logiciel anti-spam produit et commercialisé par Stephens) ;
-« emailbulksend.com » ;
-« emailbulk.info » ;
– « escrubber.info » (outils pour nettoyer les listes de courrier indésirable d’adresses fictives ou leurres utilisées par les sociétés anti-spam) ;
-« esender.biz » ;
-« envoyez.nous » ;
-“quicksendemail.com« ;
-« transmitemail.com ».
L’adresse physique sur de nombreux enregistrements d’enregistrement originaux pour les noms de sites énumérés ci-dessus montre une adresse pour un Michelle Kellison. le registres de constitution pour l’Église du bien commun déposée auprès du secrétaire d’État de Floride, répertoriez Michelle Kellison en tant qu’agent enregistré de cette organisation.
Le profil Skype d’Andrew, où il utilise un autre de ses surnoms préférés, « eDataKing »
Mettre en prison les spammeurs et autres expéditeurs de fond pour des attaques DDoS peut être cathartique, mais cela ne résout certainement pas le problème sous-jacent : que les matières premières nécessaires pour lancer des attaques de la taille de celles qui ont frappé SpamHaus et CloudFlare l’année dernière sont abondantes et gratuites. disponible en ligne. Comme je l’ai noté dans l’avant-dernier chapitre de mon nouveau livre – Pays du spam (à présent un best-seller du New York Timesmerci chers lecteurs !), la mauvaise nouvelle est que peu de choses ont changé depuis la première apparition de ces attaques ultra-puissantes il y a plus de dix ans.
Rodney Joffe, vice-président senior et technologue senior chez Neustar – une société de sécurité qui aide également ses clients à faire face à d’énormes attaques en ligne – estime qu’il existe environ 25 millions de routeurs domestiques et professionnels mal configurés ou obsolètes qui peuvent être abusés dans ces sièges numériques. Du livre:
La plupart d’entre eux sont des routeurs domestiques fournis par des FAI ou des routeurs professionnels mal configurés, mais un grand nombre de ces appareils se trouvent chez des FAI dans des pays en développement ou chez des fournisseurs Internet qui ne voient aucun avantage économique à dépenser de l’argent pour le plus grand bien d’Internet.
« Dans presque tous les cas, il s’agit d’une option configurable par le FAI, mais vous devez demander au FAI de le faire », a déclaré Joffe. « Beaucoup de ces FAI sont sur des marges très minces et n’ont aucun intérêt à passer par le processus de protection de leurs utilisateurs finaux – ou du reste des utilisateurs d’Internet, d’ailleurs. »
Et c’est là que réside le problème. Il n’y a pas si longtemps, si un spammeur ou un pirate voulait lancer une attaque massive sur Internet, il devait assembler un énorme botnet qui comprenait des légions de PC piratés. De nos jours, un tel attaquant n’a pas besoin de construire une si grande armée de robots. Armés de quelques centaines de PC infectés par des robots, a déclaré Joffe, les attaquants peuvent aujourd’hui éliminer presque n’importe quelle cible sur Internet, grâce aux millions de routeurs Internet mal configurés qui sont prêts à être enrôlés dans l’attaque à tout moment.
« Si les méchants lancent une attaque, ils pourraient commencer par abuser de 20 000 de ces serveurs mal configurés, et si la cible est toujours opérationnelle et en ligne, ils l’augmenteront à 50 000 », a déclaré Joffe. « Dans la plupart des cas, ils n’ont qu’à passer à 100 000 pour mettre hors ligne les plus gros sites, mais il y en a 25 millions disponibles. »
Si vous exploitez un réseau de taille appréciable, recherchez vos adresses Internet dans le Ouvrir le projet de résolutionqui comprend un index consultable de certains 32 millions des adresses d’appareils mal configurées ou obsolètes qui peuvent être utilisées de manière abusive pour lancer ces attaques à grande échelle très dommageables.