Lorsque Karim Ratani ne tient pas la caisse du local Métro franchise dans sa ville natale d’adoption de Cartersville, en Géorgie, il bricole généralement avec le code. Ce natif pakistanais de 21 ans est le programmeur principal de deux services en ligne très différents mais complémentaires : l’un permet aux utilisateurs de lancer de puissantes attaques qui peuvent mettre hors ligne des sites Web, des entreprises et d’autres cibles pendant des heures d’affilée ; l’autre est un service d’hébergement Web conçu pour aider les entreprises à faire face à de telles agressions.
Grimbooter
Rattani aide à exécuter deux services « booter » ou « stresser » différents – grimbooter[dot]comet stresseur restreint[dot]Info. Il travaille également sur L’Hébergé[dot]moiune société d’hébergement Web destinée aux sites Web à la recherche d’une protection contre les attaques mêmes qu’il aide à lancer.
Dans le cadre d’une série en cours sur les services de démarrage, j’ai contacté Rattani via son compte Facebook (qui regorgeait d’images renvoyant à de faux sites Youtube qui imposent des logiciels malveillants déguisés en Le lecteur Flash d’Adobe brancher). Il s’avère que le même Google Wallet est utilisé pour accepter le paiement pour les trois services, et que ce portefeuille remonte à Rattani.
Dans un chat sur Facebook, Rattani a affirmé qu’il ne dirigeait pas les entreprises, mais qu’il acceptait simplement les paiements Google Wallet pour elles, puis transférait l’argent (moins sa part) à un jeune homme nommé Danial Rajput — son partenaire commercial de retour à Karachi. Rajput a refusé d’être interviewé pour cette histoire.
Le travail que Rattani fait pour ces services de démarrage rapporte environ 2 500 $ par mois – bien plus qu’il ne pourrait jamais espérer gagner en un mois en élinguant des sandwichs. Lorsqu’on lui a demandé s’il voyait un conflit d’intérêts dans son travail, Rattani était ambivalent.
« C’est un peu [a conflict]mais si mon ami ne vend pas [the service]quelqu’un d’autre le fera », a-t-il déclaré.
Rattani et son partenaire font partie d’un nombre croissant de jeunes hommes qui vendent des services DDoS à louer légalement obscurs. Les propriétaires de ces services les commercialisent uniquement pour les administrateurs de sites Web afin de « tester le stress » de leurs sites pour s’assurer qu’ils peuvent gérer des volumes élevés de visiteurs.
Mais cet argument est à peu près aussi convaincant qu’une prostituée essayant de se faire passer pour une escorte. Le propriétaire des services d’attaque (le susmentionné M. Rajput) les annonce à hackforums[dot]rapporter, un forum en anglais où des tonnes de hackers peu qualifiés traînent et louent de tels services d’attaque pour prouver leurs « compétences » et leur ténacité aux autres. En effet, dans son premier post sur Hackforums en 2012, Rajput déclare que « mon objectif est de fournir la meilleure qualité de vps [virtual private server] pour le dosage 😛 ».
Damon McCoy, professeur adjoint d’informatique à Université George Mason, a déclaré que le nombre de ces services DDoS à louer a explosé au cours des deux dernières années. Presque tous ces services permettent aux clients de payer pour des attaques en utilisant Pay Pal ou portefeuille Googlemême si cela enfreint les conditions d’utilisation énoncées par ces réseaux de paiement.
« La raison principale pour laquelle ils deviennent un problème croissant est qu’ils sont rentables », a déclaré McCoy. «Ils sont également faciles à configurer en utilisant du code divulgué pour d’autres booters, augmentant la demande des joueurs et d’autres clients, réduisant le coût de l’infrastructure d’attaque qui peut être amplifiée à l’aide d’attaques DDoS courantes. De plus, il est relativement peu risqué d’exploiter un service de démarrage lors de l’utilisation de serveurs d’attaque loués au lieu de botnets.
Les services de booter se multiplient grâce notamment aux services gratuits proposés par Cloud Flare, un réseau de distribution de contenu qui offre une protection DDoS gratuite pour pratiquement tous les services de démarrage actuellement en ligne. Cela inclut le Lizardstresserle service d’attaque lancé par les mêmes criminels Lizard Squad (alias Loser Squad) dont les assauts ont frappé le Xbox Microsoft et Sony PlayStation réseaux hors ligne le jour de Noël 2014.
La triste vérité est que la plupart des services de démarrage ne pourraient probablement pas rester en activité sans le service gratuit de CloudFlare. C’est parce qu’en dehors de CloudFlare, les vrais services de protection DDoS sont chers, et à peu près la seule chose que les clients du service d’amorçage aiment attaquer plus que Minecraft et les sites de jeux en ligne sont, eh bien, d’autres services d’amorçage.
Par exemple, en regardant la base de données principale (maintenant divulguée) pour le LizardStresser, nous pouvons voir que TheHosted et ses diverses propriétés ont été la cible d’attaques à plusieurs reprises par l’un des membres les plus éminents de Loser Squad.
Le site Web crimeflare.comqui suit les sites abusifs qui se cachent derrière CloudFlare, a catalogué plus de 200 sites DDoS à louer utilisant CloudFlare. Pour leur part, les propriétaires de CloudFlare ont plutôt résisté avec véhémence à l’idée d’empêcher les services de démarrage d’utiliser les services de l’entreprise, affirmant que cela conduirait CloudFlare vers le bas.pente glissante de la censure.”
Comme je l’ai observé dans une histoire précédente sur les booters, le PDG de CloudFlare Matthieu Prince a noté que même si Cloudflare répondra aux procédures judiciaires et aux assignations à comparaître des forces de l’ordre pour mettre des sites hors ligne, « nous avons parfois des ordonnances de justice qui nous ordonnent de ne pas supprimer de sites ». En effet, un tel exemple était CarderProfit, un forum de carding protégé par Cloudflare qui s’est avéré être une opération d’infiltration élaborée mise en place par le FBI.
Je suppose qu’il est encourageant qu’avant CloudFlare, Prince ait été co-créateur de Pot de miel du projet, qui se présente comme la plus grande communauté open source dédiée au suivi des fraudes et des abus en ligne. Dans le piratage et la terminologie informatique, un pot de miel est un piège mis en place pour détecter, détourner ou autrement contrecarrer les tentatives d’utilisation non autorisée ou d’abus des systèmes d’information.
Il se pourrait bien que les enquêteurs fédéraux permettent à ces myriades de services de démarrage de rester en activité afin qu’ils puissent rassembler de nombreuses preuves pour de futures poursuites pénales contre leurs propriétaires et utilisateurs. En attendant, cependant, il sera toujours possible d’acheter de puissantes attaques DDoS avec un peu plus qu’une carte de crédit ou une carte de débit prépayée.