Cette semaine, les autorités américaines ont porté des accusations de piratage contre trois hommes dans le cadre d’un démantèlement international sans précédent ciblant 15 sites « booter » ou « stresser » différents – des services d’attaque contre rémunération qui ont aidé des clients payants à lancer des dizaines de milliers de sites numériques. des sièges capables de mettre hors ligne des sites Web et des fournisseurs de réseau entiers.
L’avis de saisie apparaissant sur la page d’accueil cette semaine de plus d’une douzaine de sites Web de DDoS populaires « booter » ou « stresser ».
Dès jeudi matin, un avis de saisie portant les sceaux du Département américain de la justice, FBI et d’autres organismes d’application de la loi sont apparus sur les sites de booter, notamment :
anonsecurityteam[.]com
booter[.]ninja
torero[.]rapporter
démarrage critique[.]com
défcon[.]pro
protocole de défi[.]com
vers le bas[.]org
couche7-stresseur[.]xyz
netstress[.]org
quantumstress[.]rapporter
ragebooter[.]com
demande[.]déchirure
str3ssed[.]moi
torsecurityteam[.]org
vbooter[.]org
Les sites de démarrage sont dangereux car ils aident à réduire les barrières à la cybercriminalité, permettant même à des novices complets de lancer des attaques sophistiquées et paralysantes d’un simple clic.
Cameron Schröderprocureur américain adjoint du district central de Californie, a qualifié l’action de cette semaine de plus grande saisie simultanée de domaines de service de démarrage jamais réalisée.
« Il s’agit de la plus grande action des forces de l’ordre américaines contre les services de booter, et nous le faisons en coopération avec un grand nombre de partenaires de l’industrie et des forces de l’ordre étrangères », a déclaré Schroeder.
Les services Booter sont généralement annoncés par le biais de diverses méthodes, notamment les forums du Dark Web, les plateformes de chat et même youtube.com. Ils acceptent les paiements via PayPal, Google Wallet et/ou les crypto-monnaies, et le prix des abonnements peut varier de quelques dollars à plusieurs centaines par mois. Les services sont tarifés en fonction du volume de trafic à lancer sur la cible, de la durée de chaque attaque et du nombre d’attaques simultanées autorisées.
Les fournisseurs de stressers et de booters affirment qu’ils ne sont pas responsables de la façon dont les clients utilisent leurs services et qu’ils n’enfreignent pas la loi car, comme la plupart des outils de sécurité, les services de stresser peuvent être utilisés à de bonnes ou de mauvaises fins. Par exemple, tous les sites de démarrage mentionnés ci-dessus contenaient de longs accords de « conditions d’utilisation » qui obligeaient les clients à accepter qu’ils ne testeraient que leurs propres réseaux et qu’ils n’utiliseraient pas le service pour attaquer les autres.
Mais les experts disent que l’annonce d’aujourd’hui déchire cette feuille de vigne virtuelle et marque plusieurs changements stratégiques importants dans la façon dont les autorités ont l’intention de poursuivre les opérateurs de services de démarrage à l’avenir.
« Cette action est fondée sur le fait que l’exécution d’un service de démarrage lui-même est illégale », a déclaré Allison Nixondirecteur de la recherche en sécurité chez Point de rupture, une société de sécurité basée à New York. « C’est un argument juridique légèrement différent de celui qui a été avancé dans le passé contre d’autres propriétaires de booter. »
D’une part, les services de démarrage ciblés dans ce retrait annonçaient la capacité de « résoudre » ou de déterminer la véritable adresse Internet d’une cible. Ceci est particulièrement utile pour les clients cherchant à nuire à des cibles dont la véritable adresse est cachée derrière des services d’atténuation tels que Nuageux (ironiquement, le même fournisseur utilisé par certains de ces services de démarrage pour résister aux attaques des services de démarrage concurrents).
Certains résolveurs permettaient également aux clients de déterminer l’adresse Internet d’une cible en utilisant rien de plus que le nom d’utilisateur Skype de la cible.
« Vous n’avez pas besoin d’utiliser un résolveur Skype juste pour vous attaquer », a déclaré l’assistant du procureur américain Schroeder. « De toute évidence, les personnes qui exécutent ces services de démarrage savent que leurs services ne sont pas utilisés par des personnes ciblant leur propre infrastructure, et ont des capacités intégrées qui permettent spécifiquement aux clients d’attaquer les autres. »
Une autre distinction importante entre l’action coordonnée de cette semaine et les démantèlements de sites de démarrage passés était que le gouvernement a en fait testé chaque service qu’il a démantelé pour valider les affirmations sur la puissance de feu de l’attaque et pour en savoir plus sur la façon dont chaque service a mené des assauts.
Dans une plainte non scellée aujourd’hui, le ministère de la Justice a déclaré que bien que les agents du FBI aient identifié au moins 60 services de démarrage différents opérant entre juin et décembre 2018, ils ont découvert que tous n’étaient pas pleinement opérationnels et capables de lancer des attaques. Ainsi, les 15 services saisis cette semaine représentent ceux que le gouvernement a pu utiliser pour mener avec succès des attaques à haut volume contre ses propres sites de test.
« Cela vise à envoyer un message très clair à tous les opérateurs de booter qu’ils ne seront plus autorisés à opérer ouvertement », a déclaré Nixon. « Le message est que si vous utilisez un service DDoS à louer qui peut attaquer une adresse Internet de telle sorte que le FBI puisse acheter une attaque contre ses propres serveurs de test, vous allez probablement avoir des ennuis. ”
À BAS TOUS
Cette semaine, devant un tribunal fédéral de Los Angeles, ont été inculpés les opérateurs présumés de « Downthem » – un service d’amorçage qui, selon le gouvernement, a aidé quelque 2 000 clients à lancer des agressions numériques débilitantes sur plus de 200 000 cibles, dont de nombreux sites Web gouvernementaux, bancaires, universitaires et de jeux.
Les procureurs disent qu’en plus de diriger et de commercialiser Downthem, les accusés Matthieu Gatrel de St. Charles, Illinois, et Juan Martínez de Pasadena, en Californie, a vendu d’énormes listes d’adresses Internet continuellement mises à jour liées à des appareils qui pourraient être utilisés par d’autres services de démarrage pour rendre les attaques beaucoup plus puissantes et efficaces.
L’interface utilisateur pour Downthem[.]org, l’un des 15 sites de démarrage saisis par le gouvernement fédéral aujourd’hui.
Les services de démarrage et de stress permettent aux clients de choisir parmi une variété de méthodes d’attaque, mais presque universellement, la plus puissante de ces méthodes implique ce que l’on appelle une «attaque d’amplification réfléchissante». Dans de telles agressions, les auteurs exploitent des serveurs de noms de domaine (DNS) non gérés ou d’autres appareils sur le Web pour créer d’énormes inondations de trafic.
Idéalement, les serveurs DNS ne fournissent des services qu’aux machines d’un domaine de confiance, comme la traduction d’une adresse Internet à partir d’une série de chiffres en un nom de domaine, comme example.com. Mais les attaques par réflexion DNS reposent sur des routeurs grand public et professionnels et d’autres appareils équipés de serveurs DNS qui sont (mal) configurés pour accepter des requêtes de n’importe où sur le Web.
Les attaquants peuvent envoyer des requêtes DNS usurpées à ces serveurs DNS, falsifiant la requête de sorte qu’elle semble provenir du réseau de la cible. De cette façon, lorsque les serveurs DNS répondent, ils répondent à l’adresse usurpée (cible).
Les méchants peuvent également amplifier une attaque réflexive en élaborant des requêtes DNS afin que les réponses soient beaucoup plus importantes que les requêtes. Par exemple, un attaquant pourrait composer une requête DNS de moins de 100 octets, provoquant une réponse 60 à 70 fois plus volumineuse. Cet effet « d’amplification » est particulièrement prononcé si les auteurs interrogent simultanément des dizaines de serveurs DNS avec ces requêtes usurpées.
Le gouvernement allègue que Gatrel et Martinez scannaient constamment Internet à la recherche de ces appareils mal configurés, puis vendaient des listes d’adresses Internet liées à ces appareils à d’autres opérateurs de services de démarrage.
Schroeder a déclaré que le gouvernement faisait valoir que l’utilisation de ces serveurs tiers dans des attaques d’amplification réfléchissantes pouvait être poursuivie en vertu des lois existantes sur la fraude par fil et l’intrusion informatique.
« Assurément [booter service operators] n’ont pas la permission de tous ces autres propriétaires d’appareils d’utiliser les appareils et leur bande passante pour diriger ces attaques », a-t-elle déclaré. « Nous considérons cela comme une violation de fraude électronique, car ils volent essentiellement des biens à des fournisseurs en amont et utilisent leurs ressources pour mener ces attaques. Il existe également plusieurs façons de montrer que cela n’est clairement pas légal en vertu de la loi sur la fraude et les abus informatiques.
Les procureurs allèguent en outre que Gatrel a revendu ses services de booter à d’autres opérateurs de booter, notamment Stresseur quantique — l’un des 15 services saisis par le gouvernement cette semaine. L’opérateur présumé de ce service, résident de Pennsylvanie David Bukoskia été accusé cette semaine dans le district d’Alaska d’avoir aidé et encouragé des intrusions informatiques.
Les enquêteurs affirment que le service de démarrage de Bukoski était l’un des services les plus anciens ciblés par le FBI, opérant depuis au moins 2012. Un acte d’accusation contre Bukoski non scellé cette semaine maintient que Quantum Stresser avait plus de 80 000 abonnements clients, et qu’en 2018, le service a été utilisé pour effectuer plus de 50 000 attaques réelles ou tentatives ciblant des personnes et des réseaux dans le monde entier.
Adam Alexandreprocureur américain adjoint du district de l’Alaska, a déclaré que des poursuites supplémentaires contre les opérateurs de services de démarrage seraient à venir.
« Nous devenons plus expérimentés, grâce à l’expertise croissante et au travail d’enquête nécessaire pour identifier, identifier et poursuivre les personnes responsables de ces services », a déclaré Alexander. « Des actions comme celle-ci démontrent que nos capacités augmentent également. »
Selon le gouvernement, l’utilisation de services de booter et de stresser pour mener des attaques est punissable à la fois en vertu des lois sur la fraude électronique et de la Computer Fraud and Abuse Act (18 USC § 1030), et peut entraîner une arrestation et des poursuites; saisie d’ordinateurs ou d’autres appareils électroniques ; peines de prison importantes; une pénalité ou une amende.
Schroeder a déclaré que le gouvernement comprenait que les démantèlements de cette semaine ne résoudraient pas le problème des booters une fois pour toutes, et que d’autres services de booter surgiraient probablement à la suite de ceux démantelés cette semaine. Mais elle a déclaré que les arrestations et les saisies ont aidé à créer un modèle que le gouvernement peut utiliser en tandem avec ses partenaires de l’industrie pour raccourcir la durée de vie des nouveaux services de démarrage et traduire les responsables en justice.
« Nous ne nous attendons certainement pas à ce que ce problème disparaisse après cela », a déclaré Schroeder. « Mais il s’agit d’une tentative de construire une approche stratégique de ce problème, de le regarder d’une manière plus systémique et de le traiter à une échelle beaucoup plus grande. »
Le communiqué de presse du ministère de la Justice concernant cette action est ici.
Ceci est une histoire en développement et peut être mise à jour tout au long de la journée. Toute mise à jour substantielle sera notée ici avec un horodatage.
Mise à jour, 14 h 42 HE : Ajout d’un lien vers le communiqué de presse du DOJ.
Mise à jour, 19 h 59 HE : Ajout d’un commentaire d’AUSA Adam Alexander.