BreachTrace a récemment présenté l’histoire d’un homme du Nouveau-Mexique accusé d’avoir utilisé le défunt vDOS service d’attaque contre rémunération pour entraver les sites Web de plusieurs anciens employeurs. Cet article indiquait que je n’étais au courant d’aucune autre poursuite liée aux clients vDOS, mais comme cela se produit là-bas a été une poursuite au Royaume-Uni plus tôt cette année d’un homme qui a admis à la fois utiliser et aider à administrer vDOS. Voici un aperçu de quelques indices open source qui pourraient avoir conduit à l’arrestation de l’homme britannique.
Jack Chappell, en dehors d’une audience au tribunal au Royaume-Uni plus tôt cette année.
Début juillet 2017, la police des West Midlands au Royaume-Uni arrêté Résident de Stockport, 19 ans Jack Chappell et l’a accusé d’avoir aidé les co-fondateurs de vDOS – deux hommes israéliens qui ont été arrêtés à la fin de l’année et accusés de diriger le service.
Jusqu’à sa disparition en septembre 2016, vDOS était de loin le service d’attaque contre rémunération le plus populaire et le plus puissant, permettant même aux internautes totalement non qualifiés de lancer des assauts paralysants capables de mettre hors ligne la plupart des sites Web. vDOS a rapporté plus de 600 000 $ en seulement deux des quatre années de fonctionnement, lançant plus de 150 000 attaques contre des milliers de victimes (y compris ce site).
Pour sa part, Chappell a été accusé d’avoir participé à des attaques contre des sites Web pour certaines des plus grandes entreprises du monde, notamment Amazone, Bbc, BT, Netflix, T Mobile, Médias viergeset Vodafoneentre le 1er mai 2015 et le 30 avril 2016.
Fin juillet 2017, Chappell a plaidé coupable à ces allégations, ainsi qu’aux accusations d’avoir aidé vDOS à blanchir l’argent de clients souhaitant payer des attaques avec des comptes PayPal.
Un facteur important dans ce plaidoyer a été la fuite des attaques vDOS, du support client et des bases de données de paiement vers cet auteur et vers les responsables de l’application de la loi américains à l’automne 2016. Ces bases de données ont fourni des informations extrêmement détaillées sur les co-conspirateurs, les clients payants et les victimes.
Mais comme dans de nombreuses autres enquêtes sur la cybercriminalité, l’auteur de cette affaire semble avoir été arrêté grâce à une combinaison de plusieurs facteurs trop courants, notamment la réutilisation de mots de passe, une présence active sur la vaste communauté de piratage en anglais Hackforums, et noms de domaine enregistrés à son vrai nom. Combinés, ces indices fournissent un pont crucial entre les identités en ligne et réelles de Chappell.
Une simple recherche sur domaintools.com pour le nom Jack Chappell et « UK » renvoie une poignée de résultats, y compris le domaine fractale[dot]hf. Ce domaine a été enregistré en juin 2015 au nom d’un Jack Chappell à Stockport, en utilisant l’adresse e-mail [email protected][dot]Royaume-Uni [full disclosure: Domaintools is an advertiser on this site].
Aucun domaine n’est plus en ligne, mais une recherche Google sur la fractale[dot]hf révèle plusieurs mentions de ce site sur Hackforums – un vaste forum de langue anglaise qui, jusqu’à très récemment, abritait le marché en plein air le plus animé pour les services d’attaque contre rémunération concurrents.
Selon un examen de ces publications sur Hackforums, fractal[dot]hf était un service gratuit qui permettait aux utilisateurs de tester la taille et l’impact de n’importe quel outil d’attaque DDoS – affichant des graphiques détaillés montrant la quantité de données qu’un outil d’attaque donné pouvait lancer sur une cible visée. Plusieurs membres du forum ont dit aux utilisateurs intéressés que la fractale[dot]hf était détenu et exploité par un utilisateur amical et serviable de Hackforums nommé Fractale.
Une capture d’écran de l’utilisateur Fractal annonçant son service pour mesurer la taille des attaques. Fractal a publié ce graphique pour illustrer la puissance d’un botnet basé sur IRC qui était vendu sur Hackforums à la mi-2015.
Peut-être sans surprise, il y avait un utilisateur très actif sur vDOS qui portait le même surnom Fractal, en utilisant le mot de passe « BonjourMonde1998” et adresse e-mail [email protected].
Le domaine susmentionné Jackchappell.co[dot]uk apparaît dans la base de données de paiements vDOS divulguée, qui indique qu’un compte PayPal lié à l’adresse e-mail « [email protected][dot]Royaume-Uni » était l’un des nombreux comptes PayPal utilisés pour blanchir les paiements des clients pour les attaques en ligne.
Comme indiqué dans mon article de juin 2017 Suite au service Money Hobbled vDOS Attack-for-Hire, vDOS a été contraint de procéder à des paiements circulaires des clients PayPal via une série de comptes après que des chercheurs universitaires ont commencé à s’inscrire à une variété de services d’attaque contre rémunération. (y compris vDOS), puis en signalant à PayPal les adresses e-mail liées aux comptes utilisés pour recevoir des paiements.
Le [email protected][dot]L’adresse uk était liée à un compte d’utilisateur vDOS appelé « portailKiller » qui a utilisé le mot de passe « BonjourMonde8991.” Notez que ce mot de passe est très similaire à celui utilisé par l’utilisateur vDOS Fractal — seuls les chiffres à la fin du mot de passe ont été inversés (1998/8991).
Portalkiller a changé son mot de passe plusieurs fois pendant son séjour sur vDOS, et l’un des mots de passe qu’il a utilisés était « Smith8991 ». Une recherche Internet sur ce mot de passe fait apparaître un compte dans la base de données des utilisateurs qui a été piratée et mise en ligne d’un service similaire d’attaque contre rémunération précédemment géré par un groupe de pirates connu sous le nom de Lizard Squad. L’adresse e-mail liée à ce compte ? [email protected].
D’après l’examen des messages et de la réputation de Fractal sur les Hackforums, il semble que le 28 décembre 2015, son compte a reçu des éloges et des points de réputation positifs (similaire au système de « commentaires » des utilisateurs d’eBay) de la part de M30w et AppleJ4ckles surnoms utilisés par les co-fondateurs présumés de vDOS.
Points de réputation positifs attribués à Chappell par les copropriétaires de vDOS, qui utilisaient les alias « M30W » et « AppleJ4ck ».
Les commentaires dans les bases de données vDOS divulguées suggèrent également que Chappell a été pendant un certain temps l’un des nombreux administrateurs de confiance et / ou du personnel de support du service. vDOS bannissait régulièrement les comptes des membres qui partageaient leurs connexions ou qui se connectaient via des services de réseau privé virtuel (VPN) pour anonymiser leurs connexions, mais de nombreux membres ont ignoré ce conseil.
Par exemple, dans un ticket d’assistance daté du 13 mars 2016, un abonné vDOS nommé « Bears » dont le compte a été banni a supplié les administrateurs de réactiver (ou « débannir ») son compte.
« Salut jeremy pls unban salut p1st je t’aime salut AJ je t’aime salut fractale je t’aime salut quiconque d’autre est le soutien est swagdaddy soutient toujours? » Ours plaide.
Ironiquement, les deux comptes de Chappell sur vDOS – Fractal et portalKiller – ont finalement été interdits, ce dernier soi-disant pour avoir bafoué les restrictions sans VPN de vDOS. Dans un ticket d’assistance client, portalKiller explique la raison de son utilisation d’un VPN : il utilisait régulièrement un VPN pour pouvoir tunneliser sa connexion aux États-Unis et regarder le catalogue américain de Netflix vidéos.
« Compte banni », 85801, « portalKiller », « Bonjour, mon compte a été banni il y a quelques jours pour s’être connecté à partir d’un VPN. Laissez-moi vous expliquer, l’IP 82.132.234.244 n’est pas un VPN, c’est mon fournisseur de téléphonie mobile (O2), qui n’est pas un proxy/VPN. La deuxième adresse IP était une erreur que j’ai commise, je me suis déconnecté et reconnecté à partir de mon adresse IP normale (81.103.71.50) après avoir remarqué que mon VPN était activé (je l’utilise pour Netflix). Je veux vraiment que vous reconsidériez mon interdiction. Merci, PortalKiller.
Fractal a également été finalement interdit d’utiliser vDOS, bien qu’il soit moins clair pourquoi ce compte a été banni. Peut-être que Chappell n’offrait plus la possibilité d’aider les autres administrateurs vDOS à blanchir des fonds, ou peut-être qu’il s’était disputé avec M30W/p1st et AppleJ4ck.
Chappell n’a pas répondu aux demandes de commentaires. Sa condamnation a été retardée à plusieurs reprises depuis son plaidoyer de culpabilité ; il est actuellement prévu pour décembre 2017.
Le plaidoyer de culpabilité de Chappell me rappelle qu’il y en a beaucoup d’autres qui ont aidé à blanchir des fonds pour vDOS qui sont selon toute vraisemblance exposés de la même manière. Restez à l’écoute pour plus de mises à jour sur ce front.