Un homme de 21 ans de l’Illinois a été condamné la semaine dernière à 13 mois de prison pour avoir dirigé plusieurs services DDoS à louer qui ont lancé des millions d’attaques sur plusieurs années. La condamnation de cet individu intervient plus de cinq ans après que BreachTrace a interrogé à la fois l’accusé et son père et a exhorté ce dernier à s’intéresser plus activement aux activités en ligne de son fils.
Une capture d’écran de databooter[.]com, vers 2017. Image : Cisco Talos.
La peine de prison a été infligée à Sergiy P. Usatyuk d’Orland Park, Illinois, qui a plaidé coupable en février à un chef d’accusation de complot en vue de causer des dommages à des ordinateurs connectés à Internet et de posséder, administrer et soutenir des services illégaux de « booter » ou « stresser » conçus pour mettre hors ligne des sites Web, y compris exostress[.]dans, quezstresseur[.]com, betabooter[.]com, databooter[.]com, instabooter[.]com, polystress[.]com et zstress[.]rapporter.
Selon le Ministère de la Justice des États-Unis, au cours des 13 premiers mois de la longue conspiration de 27 mois, les utilisateurs de démarrage d’Usatyuk ont commandé environ 3 829 812 attaques DDoS. Au 12 septembre 2017, ExoStresser a annoncé sur son site Web que ce service de démarrage unique avait lancé 1 367 610 attaques DDoS et causé aux cibles 109 186,4 heures d’indisponibilité du réseau (-4 549 jours).
Usatyuk – opérant sous les pseudonymes de pirate informatique «Andrew Quez» et «Brian Martinez», entre autres – a admis avoir développé, contrôlé et exploité les services de démarrage susmentionnés d’environ août 2015 à novembre 2017. Mais l’implication d’Usatyuk dans l’espace DDoS à louer très bien avant cette période.
En février 2014, BreachTrace a contacté le père d’Usatyuk Peter Usatyukprofesseur adjoint à la Université de l’Illinois à Chicago. Je l’ai fait parce qu’une brève enquête sur Hackforums[.]net a révélé que son fils Sergiy, alors âgé de 15 ans – qui à l’époque était surnommé « Rasbora » et « M. Booter Master » – a été fortement impliqué dans le lancement d’attaques DDoS paralysantes.
J’ai téléphoné à Usatyuk l’aîné parce que les alter ego de Sergiy avaient publié des preuves sur Hackforums et ailleurs qu’il venait de frapper BreachTrace.com avec une attaque DDoS de 200 Gbps, qui était alors considérée comme une attaque DDoS assez impressionnante.
« Je vous écris après notre conversation téléphonique juste pour confirmer que vous pouvez appeler le soir/le week-end pour parler à mon fils Sergio de vos raisons », a écrit Peter Usatyuk dans un e-mail à cet auteur le 13 février 2014. « Je ont aussi [a] préoccupation majeure ce que mon fils de 15 ans [is] Faire. Si vous pensez qu’il s’agit d’un travail illégal, veuillez me le faire savoir.
Cette histoire de 2014 a refusé de citer Rasbora par son nom parce qu’il était mineur à l’époque, mais son père semblait suffisamment alarmé par mon enquête pour qu’il ait insisté pour que son fils me parle de la question.
Voici un extrait de ce que j’ai écrit sur Sergiy à l’époque :
Il se trouve que le projet le plus récent de Rasbora consiste à rassembler, à maintenir d’énormes listes de serveurs de « qualité supérieure » qui peuvent être utilisées pour lancer des attaques d’amplification en ligne. Malgré son insistance sur le fait qu’il n’a jamais lancé d’attaques DDoS, Rasbora a finalement permis à quelqu’un lisant ses messages sur Hackforums de conclure qu’il était activement impliqué dans des attaques DDoS contre rémunération.
« Je ne vois pas ce qu’un mur de texte peut vraiment vous dire sur ce que quelqu’un fait dans la vraie vie », a déclaré Rasbora, dont l’identité réelle est cachée parce qu’il est mineur. Cette réponse est venue en réponse au fait que je lui ai lu plusieurs messages qu’il avait publiés sur Hackforums pas 24 heures plus tôt et qui suggéraient fortement qu’il était toujours dans le domaine de la mise hors ligne de sites Web : dans un message du 12 février sur un fil de discussion intitulé cliquez sur un site Web » que Rasbora a depuis supprimé, il dit à un autre utilisateur de Hackforums, « Si tout le reste échoue et que vous voulez juste qu’il soit hors ligne, envoyez-moi un MP. »
Rasbora a essayé de nettoyer certains de ses messages les plus auto-incriminants sur Hackforums, mais il reste résolument ferme dans son affirmation qu’il ne fait pas de DDoS. Qui sait, peut-être que son père le punira et lui retirera ses privilèges Internet.
Je suppose que le jeune Sergiy n’a jamais vu ses privilèges Internet révoqués, ni n’a-t-il tenu compte des conseils d’utiliser ses compétences pour des activités moins destructrices. Son père m’a raccroché quand j’ai appelé mercredi soir pour demander un commentaire.
En plus de servir le 13 mois de prison et trois ans de libération supervisée, Usatyuk perdra 542 925 $ du produit du stratagème, ainsi que des dizaines de serveurs et d’autres équipements informatiques qui alimentaient ses nombreuses entreprises de DDoS à louer.