Ces dernières années ont vu se multiplier les services en ligne qui peuvent être loués pour déconnecter des sites Web et des internautes individuels. Autrefois annoncés uniquement dans des forums clandestins ténébreux, de nombreux services dits « booter » ou « stresser » d’aujourd’hui sont exploités par des citoyens américains qui annoncent ouvertement leurs services tout en se cachant derrière des clauses de non-responsabilité juridiquement douteuses. Oh, et ils comptent presque tous sur Pay Pal pour recevoir des paiements.
Les options d’attaque d’Asile.
Beaucoup de ces sites de démarrage sont basés sur le même code source, ce qui signifie que toutes les vulnérabilités de ce code peuvent être utilisées pour siphonner les données des bases de données principales de plusieurs services concurrents. C’est arrivé en mars à booter.tw, un service qui a été utilisé pour lancer une volée d’attaques contre ce blog, entre autres.
Aujourd’hui, nous allons examiner de plus près un autre service d’amorçage dont la base de données clients a récemment fait l’objet d’une fuite : www.asilestresser.com (alias asilebooter.com/net/us). À l’instar d’autres services d’amorçage, asilestresser.com n’est pas conçu pour supprimer de grands sites Web habitués à faire face à des attaques massives d’extorqueurs sur Internet. Mais ces services peuvent et sont utilisés pour marginaliser les sites de taille moyenne, bien que leur plus commun cibles sont en ligne serveurs de jeu.
Asylum dit qu’il supprime les enregistrements des sites attaqués après un mois, et la base de données divulguée le confirme. Mais la base de données montre également le volume considérable d’attaques en ligne qui transitent par ces services : entre la semaine du 17 mars 2013 et le 23 mars 2013, asilestresser.com a été utilisé pour lancer plus de 10 000 attaques en ligne.
Selon la fuite de la base de données d’Asile, l’administrateur et premier inscrit sur le site utilise l’adresse [email protected]. Cette même adresse e-mail était le bénéficiaire de plus de 35 000 $ en paiements Paypal faites par les clients du service. Au total, plus de 33 000 comptes utilisateurs ont été créés sur le site.
Cette adresse [email protected] est également liée à un compte Facebook pour un 17 ans étudiant au tableau d’honneur nommé Chandler Downs de la banlieue de Chicago. Un rapport WHOIS inversé (PDF) commandé auprès de domaintools.com montre d’autres sites intéressants enregistrés avec cette même adresse e-mail.
Dans une brève interview menée sur le chat Gmail, Downs a soutenu que le service est uniquement destiné à « tester le stress » de son propre site, et non à attaquer les autres. Et pourtant, asililestresser.com inclut un service de résolution Skype qui permet aux utilisateurs de localiser l’adresse Internet de toute personne utilisant Skype. Le résolveur d’Asylum ne m’a pas laissé chercher la propre adresse Skype de Downs – « hugocub1 ». Mais un autre service de résolution Skype montre que ce nom d’utilisateur Skype remonte à une adresse Internet Comcast en dehors de Chicago.
Asylumstresser.com propose également une publicité youtube.com qui met en évidence la capacité du service à « démonter les serveurs ou le site Web de vos concurrents ».
« Êtes-vous tout le temps ennuyé à cause des dérapages sur xBox Live ? Voulez-vous faire tomber les serveurs ou le site Web de vos concurrents ? », lit-on dans l’annonce du site, apparemment enregistrée par cet acteur rémunéré sur Fiverr.com. « Eh bien, mon garçon, avons-nous le produit qu’il vous faut ! Maintenant, avec asilestresser, vous pouvez mettre vos ennemis hors ligne pour seulement 30 cents pendant 10 minutes. Cela semble génial, non ? Eh bien, c’est encore mieux : pour seulement 18 $ par mois, vous pouvez avoir un nombre illimité d’attaques avec un temps de démarrage accru. Nous proposons également des résolveurs IP Skype et de minuscules chats.
Downs a déclaré qu’il n’était pas le propriétaire du site – juste l’administrateur. Il a ignoré le message de l’annonce et a déclaré qu’Asylum n’était pas responsable de ce que les clients faisaient avec le service.
« Vous êtes capable de bloquer n’importe laquelle des ‘attaques’ comme vous le dites avec des connaissances réseau assez basiques », a déclaré Downs. « Si vous n’êtes pas en mesure de faire une telle chose, vous ne devriez probablement pas gérer un site Web en premier lieu. Personne ne dépenserait de l’argent pour stresser un site sans raison. Si vous donnez une raison à quelqu’un, c’est de votre faute.
Pas si vite, dit Marc Rachexpert en sécurité informatique et ancien Département américain de la justice avocat.
« S’ils ont le doigt sur la gâchette et qu’ils lancent les attaques lorsqu’ils sont payés, alors je dirais qu’ils en sont pénalement et civilement responsables », a déclaré Rasch.
Allison Nixonun consultant en sécurité qui a récemment quitté son poste d’analyse du trafic d’attaques chez Dell Secure Works, a examiné toutes les méthodes d’attaque proposées par Aslyum. Nixon s’est dite déçue de découvrir un problème dans le code du site : quelle que soit la méthode d’attaque qu’elle a choisie, le booter a exécuté la même attaque : un Attaque DNS réfléchieet quelques semaines plus tard, un Inondation UDP.
« Ils promettent toutes ces attaques – comme Attaques de couche 7, Inondations SYN, Épuisement de la mémoire Apache, et tout ce que j’ai jamais obtenu était des attaques DNS et des inondations UDP reflétées », a déclaré Nixon. « Les booters sont écrits et modifiés par des codeurs amateurs qui ne savent souvent pas ce qu’ils font, donc ce genre de bogues n’est pas surprenant. »
Nixon a noté que tous les paquets provenant du trafic qu’elle a ordonné à ses machines de test semblaient avoir été envoyés à partir d’adresses IP usurpées. Cependant, lorsqu’elle a utilisé le « Down or Not? » fonction de vérification de l’hôte sur Asylum, le site a répondu à partir de ce qui semble être la véritable adresse Internet de l’un des serveurs utilisés pour lancer les attaques : 93.114.42.28. Elle a noté qu’un service d’amorçage qui semble être un clone d’Asile – vastresser.ru — est hébergé sur le même réseau — au 93.114.41.94.
L’asile, comme la plupart des autres services de démarrage, est caché derrière Nuageux, un réseau de distribution de contenu qui aide les sites à bloquer les attaques que des services comme Asylum sont conçus pour lancer. Apparemment, se faire attaquer est un risque professionnel pour ceux qui gèrent un service de démarrage. Derrière le proxy Cloudflare, Nixon a découvert que l’adresse IP secrète de l’interface Web Asylum stresser était 93.114.42.205.
Les deux adresses IP correspondent à Voxilité, une installation d’hébergement en Roumanie qui a une solide réputation dans le milieu de la cybercriminalité pour fournir des services dits « d’hébergement à l’épreuve des balles », ou ceux qui font généralement la sourde oreille aux plaintes pour abus et aux demandes des forces de l’ordre. En janvier 2013, j’ai dressé le profil d’un centre de données de ce FAI appelé Powerhost.ro qui était utilisé comme base d’opérations pour le gang organisé de cybercriminalité qui fait actuellement face à des accusations de développement et de distribution du cheval de Troie Gozi Banking.
« Je pense qu’il est scandaleux que Paypal traite de l’argent pour ces personnes », a déclaré Nixon à propos d’Asylum. « Si les forces de l’ordre s’en souciaient, chaque booter utilise Paypal et les véritables informations financières des propriétaires y seront liées. Ce serait super facile pour les flics de les trouver et de tous les rassembler. Et si les informations sont fausses, Paypal devrait geler ces comptes.
Mise à jour, 20 h 24 HE : Un porte-parole de Paypal a envoyé la déclaration suivante en réponse à cette histoire :
«Bien que nous ne puissions pas partager les détails des comptes de nos clients en raison de notre politique de confidentialité, nous pouvons confirmer que nous examinerons les comptes suspects pour détecter toute activité malveillante et travaillerons avec les forces de l’ordre pour nous assurer que les cybercriminels sont correctement signalés. Nous prenons la sécurité très au sérieux chez PayPal et nous ne tolérons pas l’utilisation de notre site dans la vente ou la diffusion d’outils, qui ont pour seul but d’attaquer les clients et de supprimer illégalement des sites Web.
Mise à jour, 16 mai, 12 h 07 HE : Downs s’est opposé assez fortement à plusieurs déclarations de cette histoire. Principalement, il maintient que le site appartient à quelqu’un d’autre, mais il n’a fourni aucune information sur cette personne autre qu’un identifiant de pirate informatique couramment utilisé. J’ai pensé qu’il était logique de partager quelques détails supplémentaires sur mes reportages qui m’ont amené à croire que Downs dirigeait le site, voire en profitait directement. Consultez ce fil de Hackforums.net, où ce service est principalement annoncé. Il montre que l’utilisateur « Asylum » déclare que son surnom de contact sur Skype est « hugocub1 », qui, comme mentionné dans l’histoire ci-dessus, remonte à un utilisateur à Chicago. Mais une découverte plus importante et intéressante vient de Chaîne youtube.com de Downs (désigné par son profil de jeu XBLvirus – l’un des pseudos répertoriés dans le rapport Domaintools lié ci-dessus), qui présente principalement des vidéos de ses prouesses de jeu et de piratage xBox Live. Dans une vidéo, on peut entendre le narrateur déclarer : « Hé youtube, quoi de neuf, c’est Chandler de darklitstudios. » Vers 4h01 cette vidéo, si vous faites une pause juste à droite, vous pouvez voir Lastpass répertorier ses mots de passe stockés disponibles, y compris plusieurs comptes différents utilisant le surnom « hugocub ». Chapeau à Allison Nixon pour avoir trouvé ces informations supplémentaires.