[ad_1]

Lundi, j’ai dressé le profil d’asilebooter.com, l’un des nombreux services DDoS à louer de plus en plus publics se faisant passer pour des services de « test de résistance » de sites Web. Aujourd’hui, nous allons regarder ragebooter.netencore un autre service d’attaque à l’exception d’une fonctionnalité secrète qui le distingue de la concurrence : selon le propriétaire du site, ragebooter.net inclut une porte dérobée cachée qui permet au FBI surveiller l’activité des clients.

Site de Ddos à louer ragebooter.net

Site de Ddos à louer ragebooter.net

Cette histoire bizarre a commencé il y a environ une semaine, lorsque j’ai commencé à essayer de savoir qui était responsable de l’exécution de RageBooter. Fin mars, quelqu’un a piraté et divulgué la table des utilisateurs pour ragebooter.net. La base de données a montré que le tout premier utilisateur enregistré sur le site avait choisi le nom d’utilisateur « Justin » et s’était inscrit avec l’adresse e-mail « [email protected] ».

Cette adresse e-mail est liée à un compte Facebook aujourd’hui disparu pour un jeune de 22 ans Justin Pologne de Memphis, Tennessee. Le compte Facebook personnel de Pologne utilisait le pseudonyme « PRIMALRAGE » et était connecté à une page Facebook pour une entité appelée Rage Productions. Peu de temps après une interview avec BreachTrace, la page Facebook personnelle de Poland a été supprimée et son nom a été retiré de la page Rage Productions.

Les enregistrements d’enregistrement de Ragebooter.net sont cachés derrière les services de protection de la confidentialité WHOIS. Mais selon une recherche WHOIS historique sur domaintools.comce voile de secret est brièvement tombé lorsque le site a été déplacé derrière Cloudflare.com, un réseau de distribution de contenu qui protège également les sites contre les attaques DDoS comme celles que Ragebooter et ses semblables aident à créer (comme je l’ai noté dans l’histoire de lundi, certaines des plus grandes cibles des services de démarrage sont en fait d’autres services de démarrage). Pendant une brève période en octobre 2012, les enregistrements WHOIS ont montré que ragebooter.net était enregistré par un Justin Poland à Memphis.

Je suis devenu « ami » de la Pologne sur Facebook et j’ai dit que je voulais l’interviewer. Il a accepté ma demande et m’a envoyé un chat pour me demander pourquoi je voulais lui parler. J’ai dit que j’étais impatient d’en savoir plus sur son entreprise, et en particulier pourquoi il pensait qu’il était acceptable de gérer un service DDoS à louer. Pendant que nous discutions, j’ai pris la liberté de parcourir ses photos de profil, qui comprenaient plusieurs d’un grand tatouage qu’il avait fait tatouer sur le haut de son dos – « Primal Rage » dans une police de caractères façonnée d’après le texte utilisé dans le Série de films Transformers.

La Pologne est sérieuse dans ses affaires.

La Pologne est sérieuse dans ses affaires.

« Puisqu’il s’agit d’un service public sur une connexion publique à d’autres serveurs publics, ce n’est pas illégal », a expliqué Poland, affirmant qu’il avait même consulté un avocat sur la légalité de son entreprise. Quand j’ai demandé si le lancement Attaques DNS reflétées était correct, Poland a déclaré que son service avait simplement profité des paramètres par défaut de certains serveurs DNS.

« L’usurpation de l’adresse de l’expéditeur n’est pas non plus [illegal], » il a écrit. « Si l’utilisateur root du serveur ne veut pas que cela soit utilisé, il peut simplement désactiver DNS récursif. Mon service est un service de test juridique. La façon dont les individus l’utilisent est là [sic] propres risques et responsabilités [sic]. Je ne fais la publicité de ce service nulle part et je n’attire ni n’encourage l’utilisation illégale du produit. La façon dont l’utilisateur l’utilise est à ses risques et périls. Je fournis des journaux à toutes les forces de l’ordre légales et je les conserve jusqu’à 7 jours.

La conversation est devenue intéressante lorsque j’ai posé la question de suivi logique : la police ou les autorités fédérales ont-elles déjà demandé des informations sur ses clients ?

C’est alors que la Pologne a largué la bombe, m’informant que il travaillait en fait pour le FBI.

« Je travaille aussi pour le FBI le mardi à 13h à memphis, tn », a écrit Poland. « Ils me permettent de continuer cette activité et d’avoir un accès complet. Le FBI utilise également le site pour surveiller [sic] les activités [sic] des utilisateurs en ligne. Ils ont même ajouté un joli enregistreur IP qui enregistre l’IP des utilisateurs lorsqu’ils se connectent.

Lorsque j’ai demandé à Poland de fournir plus d’informations que je pourrais utiliser pour vérifier ses affirmations selon lesquelles il travaillait pour le FBI, la conversation est devenue combative et il m’a informé que je n’étais pas autorisé à utiliser les informations qu’il avait déjà partagées. avec moi. J’ai répondu que je n’étais pas d’accord et que je ne serais pas d’accord avec le fait qu’aucune de nos discussions ne devait être enregistrée, et il a à son tour promis de me poursuivre en justice si je parlais de cette histoire. C’était plus ou moins la fin de cette conversation.

Quant à la légalité relative des services de booter, j’ai consulté Marc Rach, expert en sécurité et ancien avocat du ministère américain de la Justice. Rasch a déclaré que les entreprises embauchent des services de test de stress tout le temps, mais généralement dans le cadre d’un engagement de test de pénétration plus inclusif. Dans de tels engagements, a déclaré Rasch, il est courant pour les parties qui effectuent les tests d’insister et d’obtenir au préalable une « carte de sortie de prison », essentiellement une lettre notariée du client indiquant que la société de test a été embauchée pour entrer par effraction et sinon, sonder la sécurité et la stabilité du site Web ciblé.

« C’est aussi pourquoi les serruriers vous obligent généralement à présenter une pièce d’identité prouvant votre adresse avant de pénétrer par effraction dans une maison pour vous », a déclaré Rasch. « La norme dans l’industrie de la sécurité n’est pas seulement d’exiger une preuve que vous êtes propriétaire des sites qui vont être fermés ou attaqués, mais aussi une clause d’indemnisation. »

Lundi, j’ai de nouveau envoyé un ping à M. Poland, en utilisant à nouveau la fonction de chat de Facebook. Je voulais en savoir plus sur son affirmation selon laquelle il travaillait pour les fédéraux. À ma grande surprise, il m’a donné le numéro d’un homme de Memphis qu’il appelait son contact du FBI, un homme que la Pologne a dit qu’il ne connaissait que sous le nom d' »Agent Lies ».

L’homme qui a répondu au numéro de téléphone fourni par la Pologne a refusé de vérifier son nom, semblait irrité que j’aie appelé et a exigé de savoir qui m’avait donné son numéro de téléphone. Quand je lui ai dit que j’avais été référé à lui par M. Poland, la personne à l’autre bout du fil m’a informé qu’il n’était pas autorisé à parler directement avec la presse. Il débita le nom et le numéro de l’attaché de presse du bureau extérieur du FBI à Memphis et raccrocha.

Quelques minutes après avoir parlé avec « Agent Lies », Justin m’a laissé tomber une ligne pour dire qu’il ne pouvait plus être mon « ami ». « On m’a demandé de vous bloquer. Passez une bonne journée », a écrit Poland dans un chat Facebook, sans donner plus de détails. Sa page Facebook personnelle a disparu quelques instants plus tard.

Peu de temps après, j’ai eu des nouvelles de Joël Siskovic, porte-parole du bureau extérieur du FBI de Memphis, qui a déclaré qu’il ne pouvait ni confirmer ni infirmer les affirmations de la Pologne. Siskovic a également refusé de vérifier si le FBI avait un Agent Lies.

« Les gens se présentent tout le temps et affirment qu’ils travaillent avec nous, et parfois c’est vrai et parfois ce ne l’est pas », a déclaré Siskovic. « Mais il ne serait pas prudent pour nous de confirmer que des personnes nous aident ou nous assistent, soit parce qu’elles sont de bons citoyens, soit parce qu’elles y sont obligées d’une manière ou d’une autre. »

Mise à jour, 1 juin : Une petite recherche sur Google montre qu’il y a en fait un agent du FBI dans la région de Memphis. Bon nombre des affaires publiques dans lesquelles l’agent Lies a témoigné semblent être liées à l’exploitation des enfants, comme celui-ci (PDF).

Message d’origine : J’ai essayé d’imaginer un scénario dans lequel quelqu’un dans la situation de la Pologne inventerait une histoire comme celle-là, ou – si l’histoire était vraie – pourrait être assez audacieux pour s’en vanter. Je suis revenu sur certaines des captures d’écran que j’avais prises du compte Facebook de Pologne avant sa suppression et j’ai découvert une discussion triste où Pologne dit qu’il est déprimé parce qu’il ne peut pas arrêter son habitude de fumer de la marijuana sans cesse. Dans un article, il admet dépenser plus de 1 200 $ par semaine en pot. Je ne sais pas s’il est même humainement possible pour un homme de consommer 1 200 $ d’herbe par lui-même en une semaine et de continuer à fonctionner, mais cela expliquerait certainement son comportement erratique. Quoi qu’il en soit, apparemment, les affaires vont bien.

fuiteforumsjustinJ’ai eu beaucoup d’aide sur cette recherche de Brandon Levene et Allison Nixon, deux consultants en sécurité qui fouillent depuis un certain temps déjà la scène des booters. Levene et Nixon ont dit qu’ils se sont produits le ragebooter.net après qu’une recherche générique d’autres booters ait indiqué qu’il s’agissait de l’un des trois premiers résultats.

« Ce qui a rendu les choses intéressantes, cependant, ce sont les meilleures publicités pour ce service à partir d’une affiche de forum utilisant le nom » Primal Rage «  », a déclaré Levene. « Les informations de contact sur plusieurs forums comprenaient l’e-mail Velocitypro@live.com, qui était lié à un [now-defunct] Page Facebook de Velocity Production, et à partir de cette page, nous avons identifié le compte Facebook privé du propriétaire, Justin Poland. Des recherches plus poussées ont révélé plus de profils de forum utilisant le nom Primal Rage et un autre domaine, Hybrid-host.comenregistré auprès de Justin Poland (polandjd@gmail.com).

Levene a déclaré que la plus grande rupture dans leurs recherches provenait d’un message flatteur sur un site légèrement moins public – fuiteforums.org — un forum dédié au partage d’informations sur, eh bien, les bases de données de forum divulguées pour une chose. Dans une tournure qui rend cette histoire déjà étrange encore plus étrange, Primal Rage / Justin dit dans sa demande d’adhésion sur leakforums.org qu’il démarre une nouvelle entreprise appelée « Booter est parti« , qui, selon lui, concernerait » la fuite de booters en ligne et là [sic] bases de données.

Le court CV qu’il a posté sur l’application leakforums indiquait qu’il avait de l’expérience en tant que technicien en dépannage informatique et « Spécialiste de l’atténuation Ddos ». Traduction : éliminer la concurrence en divulguant leurs bases de données, puis vendre des services d’atténuation des attaques DDoS aux entreprises assiégées par des attaques du type lancées par ses services de démarrage. Qu’est-ce qui pourrait mal se passer?

« La contamination croisée des personnages en ligne par Justin m’a amené à creuser plus profondément », a déclaré Levene. « Simplement en attirant l’attention, il s’est fait une cible. Le tout avec son service pour «stress légitime» est idiot. Même les actualités du panneau de connexion discutent des moyens de cibler les utilisateurs. »

Nixon a déclaré que ses recherches sur ragebooter.net ont montré qu’il s’agissait d’un booter en cours de développement actif et qui semble en moyenne plus de 400 attaques par jour.

Structure du réseau de Ragebooter.  Photo : Allison Nixon.

Structure du réseau de Ragebooter. Photo : Allison Nixon.

Oh, et cette porte dérobée que la Pologne prétend qu’il a ajoutée pour le FBI ? Nixon en a peut-être trouvé au moins un :

« Le booter a également des problèmes de fuite d’informations », a déclaré Nixon. « Les victimes peuvent voir ragebooter.net nom d’utilisateur de l’attaquant connecté car cette information est, bizarrement, envoyée dans le trafic d’attaque.

La véritable ironie de tout cela ? La Pologne a admis dans l’un de nos chats Facebook que son propre site avait récemment été piraté, entraînant la fuite de la base de données des utilisateurs de ragerbooter ; les assaillants ont fait irruption dans son Skype compte, puis a fouillé ses chats Skype jusqu’à ce qu’ils trouvent les identifiants de connexion à ses serveurs. Était-ce l’œuvre de pirates informatiques alliés à des services de démarrage concurrents ? Un agent du FBI éconduit ? Ou Justin lui-même ? Une chose est sûre : si le « booter » polonais disparaît bientôt, ce n’est la faute de personne d’autre que la sienne.

Une dernière remarque : des services tels que ragebooter.net ne seraient pas aussi utilisables ou rentables s’ils n’étaient pas en mesure d’accepter les paiements via Pay Pal. Un porte-parole de Paypal a refusé de commenter ce service de démarrage particulier, mais a déclaré que l’utilisation de son service pour les sites DDoS à louer violerait ses conditions d’utilisation.

«Bien que nous ne puissions pas partager les détails des comptes de nos clients en raison de notre politique de confidentialité, nous pouvons confirmer que nous examinerons les comptes suspects pour détecter toute activité malveillante et travaillerons avec les forces de l’ordre pour nous assurer que les cybercriminels sont correctement signalés. Nous prenons la sécurité très au sérieux chez PayPal et nous ne tolérons pas l’utilisation de notre site dans la vente ou la diffusion d’outils, qui ont pour seul but d’attaquer les clients et de supprimer illégalement des sites Web.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *