Au cours des dernières années, on a assisté à une prolifération rapide de services Web bon marché que les fauteurs de trouble peuvent louer pour mettre pratiquement n’importe quelle personne ou site hors ligne pendant des heures. Ces services réussissent en partie parce qu’ils ont permis aux utilisateurs de payer les attaques avec Pay Pal. Mais un effort de collaboration entre PayPal et des chercheurs en sécurité a rendu beaucoup plus difficile pour ces services de traiter avec leurs clients potentiels.
Image:
En offrant une infrastructure d’attaque par déni de service (DDoS) distribuée et partagée à faible coût, ces services dits « booter » et « stresser » ont attiré des milliers de clients malveillants et sont responsables de centaines de milliers d’attaques par an. En effet, BreachTrace a été ciblé à plusieurs reprises dans des attaques à volume assez élevé de la part de services de démarrage, notamment un service géré par le groupe de mécréants Lizard Squad qui a pris la responsabilité de mettre à l’écart Microsoft xBox et Sony Playstation le jour de Noël 2014.
Pendant plus de deux mois à l’été 2014, des chercheurs Université George Mason, Institut international d’informatique de l’UC Berkeley, et le Université du Maryland ont commencé à suivre l’argent, se faisant passer pour les acheteurs de près de deux douzaines de services de démarrage dans le but de découvrir les comptes PayPal que les services de démarrage utilisaient pour accepter les paiements. En réponse à leurs enquêtes, PayPal a commencé à saisir les comptes et les soldes du service d’amorçage PayPal, lançant ainsi ses propres attaques préventives par déni de service contre l’infrastructure de paiement de ces services.
PayPal limitera initialement les comptes marchands signalés qui enfreignent ses conditions d’utilisation (il s’avère qu’accepter des paiements pour des services abusifs est un non-non). Une fois qu’un compte est limité, le commerçant ne peut plus retirer ni dépenser les fonds de son compte. Cela entraîne la perte de fonds sur ces comptes au moment du gel, et potentiellement des pertes supplémentaires dues aux coûts d’opportunité encourus par les propriétaires lors de l’ouverture d’un nouveau compte. En outre, PayPal a mené sa propre enquête pour identifier des domaines de démarrage supplémentaires et des comptes limités liés à ces domaines également.
Les efforts de l’équipe de recherche ont apparemment provoqué des perturbations majeures pour près de deux douzaines des meilleurs services de démarrage. Les chercheurs ont déclaré qu’un jour ou deux après leurs interventions, ils ont vu le pourcentage de booters actifs passer rapidement de 70 à 80% à environ 50%, et continuer à diminuer jusqu’à un minimum d’environ 10% qui étaient toujours actifs.
Alors que certains des services de démarrage ont cessé leurs activités peu de temps après, plus d’une demi-douzaine ont décidé d’accepter les paiements via Bitcoin (bien que les chercheurs aient constaté que cela réduisait considérablement le nombre total de clients actifs des services). Une fois l’intervention ciblée commencée, ils ont constaté que la durée de vie moyenne d’un compte était tombée à environ 3,5 jours, les comptes PayPal de nombreux booters n’ayant en moyenne qu’environ deux jours avant qu’ils ne soient plus utilisés.
Les chercheurs ont également corroboré les pannes en surveillant les forums de pirates où les services étaient commercialisés, en relatant les plaintes de clients en colère et d’opérateurs de services de démarrage qui ont été incommodés par la perturbation (voir la capture d’écran ci-dessous).
Un propriétaire de service d’amorçage faisant la publicité de ses produits sur le forum Hackforums se plaint que Paypal limite à plusieurs reprises son compte.
Un autre vendeur de booter sur Hackforums se plaint que PayPal limite le compte qu’il utilise pour accepter les paiements d’attaque des clients.
« C’est dommage que PayPal ait dû nous fermer plusieurs fois, ce qui nous a obligés à sortir de l’argent de notre poche pour acheter des serveurs, de l’hébergement et plus encore », déclare ce service de démarrage aujourd’hui disparu à ses anciens clients.
Deadlyboot est mort après les interventions de PayPal. Si triste.
Les attaques quotidiennes d’Infected Stresser ont chuté précipitamment après les travaux des chercheurs.
Comme je l’ai noté dans des histoires passées sur les propriétaires de services de démarrage que j’ai retrouvés ici aux États-Unis, bon nombre de ces propriétaires et opérateurs de services sont des enfants opérant à proximité des forces de l’ordre américaines. Sur la base des informations de géolocalisation agrégées fournies par PayPal, les chercheurs ont découvert que plus de 44 % des comptes PayPal des clients et des marchands associés aux booters appartiennent potentiellement à quelqu’un aux États-Unis.
BOOTERS ENRACINÉS
L’équipe de recherche s’est également penchée sur les fuites et les données extraites de trois services de démarrage populaires – « Asylum Stresser », un autre appelé « VDO », et le service de démarrage référencé ci-dessus appelé « Lizard Stresser ». Ces trois services de démarrage avaient déjà été piratés par des inconnus. En examinant les fuites de données de ces services, les chercheurs ont découvert que ces trois services à eux seuls avaient a attiré plus de 6 000 abonnés et a lancé plus de 600 000 attaques contre plus de 100 000 victimes distinctes.
Données basées sur des fuites de bases de données de ces trois services de démarrage.
Comme d’autres services de démarrage, Asylum, Lizard Stresser et VDO s’appuient sur un modèle d’abonnement, dans lequel les clients ou les abonnés peuvent lancer un nombre illimité d’attaques d’une durée généralement comprise entre 30 secondes et 1 à 3 heures et limitées à 1 à 4 attaques simultanées. attaques en fonction du niveau d’abonnement acheté. Le prix d’un abonnement varie normalement de 10 $ à 300 $ US par mois en fonction de la durée et du nombre d’attaques simultanées fournies.
«Nous constatons également que la majorité des clients booter préfèrent payer via PayPal et que Lizard Stresser, qui n’acceptait que Bitcoin, avait un taux de conversion d’inscription minuscule de 2% en abonnés payants, contre 15% pour Asylum Stresser et 23% pour VDO 1, qui tous deux ont accepté PayPal », ont-ils écrit.
L’équipe de recherche a découvert que certaines des plus grandes attaques de ces services de démarrage tirent parti du matériel et des logiciels Internet courants – des consoles de jeu grand public aux routeurs et modems en passant par les systèmes de gestion de contenu de sites Web – qui sont livrés avec des fonctionnalités de mise en réseau qui peuvent facilement être abusés pour les attaques et qui sont activés par défaut.
Des exemples spécifiques de ceux-ci incluent les attaques d’amplification DNS, les attaques NTP (Network Time Protocol), les attaques SSDP (Simple Service Discovery Protocol) et les attaques XML-RPC. Ces méthodes d’attaque sont particulièrement attrayantes pour les services de démarrage car elles cachent la véritable source des attaques et/ou peuvent amplifier une infime quantité de bande passante d’attaque en une attaque beaucoup plus importante contre la victime. Ces méthodes d’attaque offrent également au service d’amorçage une bande passante d’attaque virtuellement illimitée et gratuite, car il existe des dizaines de millions d’appareils mal configurés en ligne qui peuvent être exploités lors de ces attaques.
Enfin, les chercheurs ont observé un fait têtu à propos de ces services d’amorçage que j’ai noté dans plusieurs articles : que les sites Web frontaux du service d’amorçage où les clients vont payer pour le service et commander les attaques étaient tous protégés par Cloud Flareun réseau de distribution de contenu spécialisé dans l’aide aux réseaux pour rester en ligne face aux attaques en ligne dévastatrices.
J’ai noté à plusieurs reprises que si CloudFlare adoptait une politique de non-activation des services de booter, cela pourrait éliminer un énorme conflit d’intérêts pour l’entreprise et, plus important encore, aider à éradiquer l’industrie du booter. La société a répondu que cela conduirait à une pente glissante de censure, mais qu’elle répondrait à toutes les demandes appropriées des forces de l’ordre concernant les booters. Je ne ressasserai plus ce débat ici (toute personne intéressée par la vision de CloudFlare à ce sujet devrait voir cette histoire).
Dans tous les cas, les chercheurs notent qu’ils ont contacté l’e-mail d’abus de CloudFlare le 21 juin 2014 pour informer l’entreprise du caractère abusif de ces services.
« Au moment de la rédaction de cet article, nous n’avons reçu aucune réponse à nos plaintes et ils continuent d’utiliser CloudFlare », note le journal. « Cela confirme l’idée qu’au moins pour notre ensemble de booters, CloudFlare est une solution robuste pour protéger leurs serveurs frontaux. En outre, crimeflare.com a une liste de plus de 100 booters qui utilisent les services de CloudFlare pour protéger leurs serveurs frontaux. »
Une copie du document de recherche est disponible ici (PDF).