L’escouade des lézards, un groupe de jeunes hooligans qui est récemment devenu célèbre sur Internet pour avoir lancé des attaques par déni de service distribué (DDoS) paralysantes contre les plus grands réseaux de jeux en ligne, fait maintenant la publicité de son propre service DDoS à louer de marque Lizard. Lisez la suite pour une vision résolument différente de cette offre que ce qui est décrit dans les médias grand public.
La page de connexion de Lizard Stresser nargue cet auteur.
Le nouveau service, lizardstresser[dot]su, semble une évolution naturelle pour un groupe de jeunes égarés qui a cherché à profiter de ses activités d’attention. Les enfants Lizard n’ont cessé leur attaque contre les réseaux Playstation de Sony et Xbox Live de Microsoft que la semaine dernière après MegaUpload fondateur Kim Dotcom a offert au groupe 300 000 $ de bons pour son service en échange de la fin de l’agression. Et dans un développement qui ne choque probablement personne, les membres du gang cyniquement dit Dailydot que les deux attaques n’étaient que des publicités élaborées et une préparation de cette offre DDoS à louer.
Le groupe fait la publicité du nouveau « service de démarrage » via son compte Twitter, qui compte plus de 132 000 abonnés. Les abonnements vont de 5,99 $ par mois pour la possibilité de mettre une cible hors ligne pendant 100 secondes à la fois, à 129,99 $ par mois pour les attaques DDoS d’une durée de plus de huit heures.
En tout cas, je ne suis pas très intéressé à transformer ce message en publicité pour les enfants Lizard; il s’agit plutôt d’un dépotoir d’informations connexes que j’ai recueillies auprès de diverses sources au cours des dernières 24 heures sur les personnes et l’infrastructure qui prennent en charge le site.
Dans une démonstration du peu de connaissances de ce groupe sur le piratage et le codage, le code source du service semble avoir été entièrement retiré de en titane, un autre service de démarrage DDoS à louer plus établi. En fait, ces génies du lézard sont si inexpérimenté au codage qu’ils ont accidentellement exposé des informations sur l’ensemble de leurs 1 700+ utilisateurs enregistrés (plus à ce sujet dans un instant).
Ces deux services, comme la plupart des booters, sont cachés derrière Cloud Flare, un service de distribution de contenu qui permet aux sites de masquer leur véritable adresse Internet. Au cas où quelqu’un s’en soucierait, la véritable adresse Internet de Lizardstresser est actuellement 217.71.50.57, à une structure d’hébergement en Bosnie.
Dans toute base de données de noms d’utilisateurs de forums ou de services divulgués, il est généralement prudent de dire que les noms d’utilisateur qui apparaissent en premier dans la liste sont les administrateurs et/ou les créateurs du site. Les noms d’utilisateur exposés par les faiblesses de codage et d’authentification dans LizardStresser montrent que les premiers utilisateurs enregistrés sont « anti » et « antéchrist ». Autant que je sache, ces deux utilisateurs sont le même type : un bon à rien qui a déjà vendu l’accès à son service DDoS personnel sur Darkode – un forum notoire sur la cybercriminalité en anglais que j’ai décrit en détail sur ce blog.
Comme détaillé dans un article récent et très divertissant sur le blog Malwaretech, LizardSquad et Darkode sont pratiquement synonymes et indiscernables maintenant. Toute personne curieuse de savoir pourquoi les enfants de Lizard ont choisi Yours Truly peut probablement trouver la réponse dans cette histoire de Malwaretech. Comme le note cet article, la principale salle de discussion en ligne pour les enfants Lizard (sur lizardpatrol[dot]com) est également caché derrière CloudFlare, mais des recherches approfondies montrent qu’il est en fait hébergé à la même adresse Internet que Darkode (5,38,89,132).
Il convient de noter que la personne qui a enregistré LizardStresser est un adolescent intéressant et en colère qui semble originaire d’Australie et utilise le surnom « abdilo ». Vous pouvez trouver ses diatribes peut-être pas sûres pour le travail sur Twitter . Une recherche WHOIS inversée (commandée à partir de Domaintools.com) sur l’adresse e-mail utilisée pour enregistrer LizardStresser (9ajjs[at]zmail[dot]ru) montre que cet e-mail a été utilisé pour enregistrer un certain nombre de domaines liés à des opérations de cybercriminalité, y compris des sites vendant des données de cartes de crédit volées et l’accès à des ordinateurs piratés.
Une recherche plus nuancée sur Domaintools.com utilisant certaines de ces informations révèle des domaines supplémentaires liés à Abdilo, y compris bkcn[dot]ru et abdilo[dot]ru (veuillez ne pas essayer de visiter ces sites à moins que vous ne sachiez ce que vous faites). Un autre domaine enregistré par abdilo (à mon nom, rien de moins) — http://x6b-x72-x65-x62-x73-x6f-x6e-x73-x65-x63-x75-x72-x69-x74-x79-x0[dot]com — est codage hexadécimal pour « breachtrace « .
Dernier point, mais non des moindres, il semble que Vinnie Omari — le jeune homme que j’ai identifié plus tôt cette semaine comme étant un membre autoproclamé des enfants Lizard — vient apparemment d’être arrêté par la police au Royaume-Uni (voir capture d’écran au dessous de). Des sources disent à BreachTrace que Vinnie est l’une des nombreuses personnes associées à ce triste petit club qui sont arrêtées et interrogées. Je suppose que la plupart, sinon la totalité, de ces enfants se retourneront les uns contre les autres. Il est temps d’aller chercher du pop-corn.
Bonne année à tous !
