Le commerce criminel sur Internet serait en grande partie stoppé s’il n’y avait pas la protection offerte par les fournisseurs dits « d’hébergement à l’épreuve des balles » – l’équivalent en ligne des paradis offshore où les transactions louches sont ignorées. Le mois dernier, j’ai eu l’occasion d’interviewer un fournisseur de services à l’épreuve des balles pour l’un des forums de cybercriminalité les plus notoires du Web, et qui semble avoir été au moins en partie responsable du lancement de ce qu’on appelle la plus grande cyberattaque jamais vue sur Internet.
Article d’introduction de Off-Sho.re sur Darkode
Plus tôt cette année, le forum du crime anglophone étroitement surveillé darkode.com a été compromis et a fait l’objet d’une série d’attaques massives par déni de service distribué (DDoS) visant à le maintenir hors ligne. À peu près à la même époque, darkode.com a accueilli un nouveau membre – un courtier d’hébergement à l’épreuve des balles nommé à juste titre « Off-sho.re » – qui a promis de défendre le site contre les futures attaques DDoS.
Off-sho.re a également déclaré qu’il pourrait offrir des services d’hébergement plus robustes et plus respectueux de la criminalité que l’ancien fournisseur de darkode – Santrexlittéralement une installation d’hébergement offshore située dans le les Seychelles, un pays de 115 îles qui s’étend sur un archipel de l’océan Indien. Le timing d’Off-sho.re était parfait : Darkode avait désespérément besoin des deux, et Off-sho.re semblait connaître son affaire, il a donc été admis sur le forum et chargé de la défense et de l’hébergement du site.
Off-sho.re recrute des membres Stophaus sur darkode.
STOPHAUS V. SPAMHAUS
Bien sûr, pour défendre avec succès un réseau contre les attaques DDoS, il faut en savoir beaucoup sur la façon de lancer de telles attaques. En effet, Off-sho.re était membre à part entière de Stophausun groupe d’hébergeurs à toute épreuve qui s’est regroupé en mars pour lancer une attaque Internet massive contre un groupe anti-spam Spamhaus.org.
Des centaines de FAI acheminent ou refusent le trafic en se basant en partie sur les listes noires de Spamhaus de FAI connus et favorables à la cybercriminalité, et Stophaus s’est formé en réponse à la liste de Spamhaus du fournisseur d’hébergement à l’épreuve des balles en particulier : un réseau connu alternativement sous le nom de CB3ROBalias « Cyberbunker» parce qu’il opérait à partir d’un bunker fortement fortifié de l’OTAN aux Pays-Bas.
Off-sho.re est modérateur du forum Stophaus, et peu de temps après avoir rejoint darkode.com, il recrutait d’autres membres de darkode pour la cause Stophaus. Les archives de Stophaus montrent qu’un autre membre principal était « 0ptik », un fournisseur d’hébergement concurrent à toute épreuve. Spamhaus avait répertorié des dizaines de domaines d’Optik, ainsi que pratiquement toutes les plages d’adresses IP que Off-sho.re avait louées chez Voxility, fournisseur d’hébergement roumain favorable aux abus. C’était l’heure de la revanche.
Fin mars, Spamhaus est devenu la cible de ce que les experts ont appelé l’une des plus grandes attaques informatiques sur Internet. La méthode d’attaque – un Attaque par amplification DNS – ressemblait à ça vu pour la première fois utilisé dans des attaques il y a plus de dix ans qui ciblait le cœur du système de routage d’Internet, sauf qu’il était, selon la plupart des comptes, beaucoup plus important.
Off-sho.re appelle l’attaque de Spamhaus « notre farce ».
« Les attaques d’amplification DNS peuvent apporter jusqu’à 140 Gbps à une seule ressource à partir d’un seul contrôleur », a écrit Off-sho.re dans une publication sur darkode.com moins de 24 heures après le début de l’attaque contre Spamhaus. « La beauté de celui-ci [is] que les ‘bots’ ne sont que des résolveurs DNS ouverts dans le monde. En lien avec un article de Cloudflare.com sur l’attaque, Off-sho.re a déclaré que « Certains hébergeurs BP étaient récemment unis, découvrez notre dernière farce. »
Le mois dernier, les autorités espagnoles ont arrêté Sven Kamphuis, un Néerlandais de 35 ans, soupçonné d’être responsable de la coordination de l’attaque sans précédent contre Spamhaus. Selon Spamhaus, Kamphuis a affirmé être son propre pays indépendant dans la République du Cyberbunker. Mais selon Off-Sho.re, Kamphuis n’était que le visage public du mouvement. « Sven n’a attaqué personne », a écrit Off-Sho.re dans un chat en ligne avec BreachTrace.
Si Kamphuis n’était qu’un porte-parole, qui était responsable de l’attaque ? Ce qui est intéressant dans le mouvement Stophaus, c’est que Off-sho.re a très bien pu inciter Spamhaus à placer enfin CB3ROB/Cyberbunker au sommet de son Liste des pires FAI au monde prenant en charge le spamun mouvement qui a contribué à précipiter ce conflit.
Selon Spamhaus, alors que Cyberbunker et Spamhaus ont certainement un peu d’histoire ensemble, Cyberbunker n’était pas vraiment au centre des efforts de blocage de Spamhaus jusqu’à l’automne 2012. C’est à ce moment-là que Spamhaus a commencé à remarquer qu’un grand nombre de serveurs de contrôle de logiciels malveillants et de botnets se trouvaient dans les plages d’adresses Internet de Cyberbunker.
« Nous n’avons pas vraiment remarqué ces gars de CB3ROB jusqu’à l’automne dernier, lorsqu’ils ont commencé à héberger des contrôleurs de botnet, des droppers de logiciels malveillants et beaucoup de spams pharmaceutiques », a déclaré un membre de Spamhaus qui ne donnerait son nom que « Barry ». « Avant cela, c’était principalement du routage pour certains Chinois – Vincent Chan – de faux produits chinois.
Off-sho.re vend l’hébergement BP à partir de Cyberbunker
Curieusement, cela coïncide avec l’entrée d’Off-sho.re sur la scène de l’hébergement à l’épreuve des balles (du moins comme annoncé sur les forums du crime). Dans son message d’introduction à Darkode, Off-sho.re a fait référence à ses discussions de vente d’hébergement à toute épreuve sur deux forums en russe – expoit.in et dommagelab.org. Dans ces discussions, qui ont commencé en septembre 2012, Off-sho.re a annoncé la possibilité d’héberger Réseaux de commande et de contrôle des botnets ZeuS et SpyEye pour entre 99 $ et 199 $ par mois, et un enregistrement de domaine à toute épreuve à partir de 30 $ par mois. Plus important encore, Off-sho.re a fièrement annoncé qu’il offrait un premier service d’hébergement BP pour 400 $ par mois qui était hébergé dans un ancien bunker de l’OTAN en Hollande et que adresses IP utilisées attribuées à CB3ROB (voir capture d’écran à gauche).
DES CYBERATTAQUES SANS CRUAUTÉ ?
L’attaque qui a frappé Spamhaus – connue sous le nom d’attaque par réflexion et amplification DNS – a exploité des serveurs DNS non gérés sur le Web pour créer d’énormes inondations de trafic. Les serveurs DNS agissent comme les pages blanches d’Internet, transformant ou « résolvant » les noms de domaine conviviaux en adresses réseau numériques utilisées par les ordinateurs. En règle générale, les serveurs DNS ne fournissent des services qu’aux machines d’un domaine approuvé. Mais les attaques par réflexion DNS reposent sur des routeurs grand public et professionnels équipés de serveurs DNS qui sont (mal)configurés pour accepter les requêtes de n’importe où sur le Web. Les attaquants peuvent envoyer des requêtes DNS usurpées à ces serveurs DNS dits « récursifs ouverts », falsifiant la requête de sorte qu’elle semble provenir du réseau de la cible. De cette façon, lorsque les serveurs DNS répondent, ils répondent à l’adresse usurpée (cible).
La partie amplification de l’attaque tire parti de la capacité à élaborer des requêtes DNS afin que les réponses soient beaucoup plus volumineuses que les requêtes ; ils le font en tirant parti d’une extension du protocole DNS qui permet des messages DNS volumineux. Par exemple, un attaquant pourrait composer une requête DNS de moins de 100 octets, provoquant une réponse 60 à 70 fois plus volumineuse. Cet effet « d’amplification » est particulièrement prononcé si les auteurs interrogent simultanément des dizaines de serveurs DNS avec ces requêtes usurpées.
J’ai contacté Off-sho.re par message instantané pour lui demander pourquoi il pensait qu’il était acceptable de détourner des serveurs appartenant à quelqu’un d’autre pour les utiliser dans des attaques contre des tiers.
« Personne n’a lancé ou abusé d’une attaque, tous les résolveurs DNS étaient des machines qui avaient cette option ouverte », a expliqué Off-sho.re. « Aucun bot n’a été utilisé et personne n’a été infecté. Les individus qui ont fait l’attaque n’ont endommagé aucun ordinateur afin de le lancer. Donc, votre question sur l’aspect juridique de cette chose n’est pas pertinente.
Rodney Joffevice-président et technologue senior chez Neustarune société de sécurité basée à Sterling, en Virginie, qui aide les entreprises à se défendre contre les cyberattaques de grande envergure, a déclaré que de telles attitudes sont une illusion criminelle courante.
« Si vous voulez des analogues du monde réel, vous pouvez dire, hé, cette voiture a été laissée ouverte, alors je suis entré par effraction », a déclaré Joffe. « C’est comme dire, hé, tout ce que j’ai fait, c’est ouvrir la portière de la voiture, mettre une brique sur la pédale d’accélérateur et laisser la voiture rouler sur la route et s’écraser dans la maison de quelqu’un, mais le gars qui possédait la voiture n’aurait pas dû la laisser déverrouillé. Autrement dit, ce n’est pas parce que j’ai une serrure qui ne fonctionne pas à ma porte que vous autorisez à utiliser ma propriété.
RIEN DE PERSONNEL
Off-sho.re a insisté sur le fait qu’il n’avait pas directement participé au lancement des attaques contre Spamhaus. Mais comme je l’ai découvert dans mes reportages, il n’a eu aucun scrupule à ordonner à ses sbires d’attaquer mon site avant notre conversation par chat. Quelques jours avant que je ne le contacte, Off-sho.re a orchestré une attaque contre BreachTrace.com afin de contrôler un nouveau membre de darkode.com.
Cette agression faisait partie du processus d’initiation de « Abscond », un pirate informatique qui cherchait à accéder à darkode.com et qui avait affirmé que sa spécialité était de fournir des services DDoS. Pour prouver sa puissance de feu, Abscond a été invité à mettre l’un des trois sites hors ligne : Darkode.com, breachtrace.com ou xylibox.com (le blog d’un chercheur français en sécurité qui se fait passer pour « Xylitol »). La conversation ci-dessous a eu lieu entre Off-sho.re et Abscond après que le botnet de ce dernier n’a pas réussi à faire tomber Darkode.com.
[00:01:51] Vous pouvez également essayer sur les sites ennemis DK, cela vous donnera également ma caution
[00:01:56] <[email protected]> d’accord
[00:01:58] <[email protected]> je vais essayer ça
[00:02:04] <[email protected]> laissez-moi essayer d’abord d’attaquer
[00:02:09] Ok.
[00:02:10] <[email protected]> et quelques minutes pour que les bots reviennent 😀
[00:02:14] <[email protected]> donc je suis à pleine puissance
[00:04:26] <[email protected]> quel est le site ennemi ?
[00:04:33] il y en a 2, choisissez n’importe lequel
[00:04:40] breachtrace.com, xylibox.com
[00:04:47] <[email protected]> ha ha 😀
[00:04:49] <[email protected]> breachtrace
[00:04:50] <[email protected]> 😀
[00:04:52] <[email protected]> putain de pédé
[00:05:10] breachtrace est sur Prolexic
[00:05:15] <[email protected]> d’accord.
[00:05:53] <[email protected]> darkode a une bonne protection DDOS
[00:08:26] <[email protected]> breachtracevers le bas ?
[00:08:30] Vérification
[00:10:13] breachtrace est en panne, bravo cette fois</[email protected]></[email protected]></[email protected]></[email protected]></[email protected]></[email protected]></[email protected]></[email protected]></[email protected]></[email protected]></[email protected]></[email protected]></[email protected]>
« Je confirme qu’Abscond peut fournir des services DDoS », a écrit Off-sho.re à la communauté darkode.
Interrogé sur l’incident dans un chat privé via Jabber, Off-sho.re a déclaré que l’attaque sur mon site n’était qu’un « test de résistance ».
« En ce qui concerne le test de résistance du site – rien de personnel », a écrit Off-sho.re.
Soit dit en passant, le « stress testing » est le nouvel euphémisme pour lancer des attaques DDoS. Si vous n’êtes pas encore familier avec ce terme en ce qui concerne les attaques en ligne, consultez DDoS Services Advertise Openly, Take PayPal, and Ragebooter: ‘Legit’ DDoS Service, or Fed Backdoor?
Les attitudes d’Off-sho.re à propos de la propriété et de ce qui est légal et acceptable en ligne semblent courantes chez les habitants de groupes comme Stophaus et d’autres collectifs de piratage gris et noir : que si quelque chose peut être fait, cela doit être légal, autorisé et autrement acceptable. . Le mantra directeur de ces gens semble être « ce qui est à moi est à moi et ce qui est à toi est à moi aussi ».