[ad_1]

En avril 2016, la société de sécurité Trend Micro publié un rapport accablant à propos d’un fournisseur d’hébergement Web qualifié uniquement de « facilitateur de cyberattaques aux Pays-Bas ». Si l’analyse des tendances manquait de véritable coup de poing, c’est peut-être parce que, peu de temps après la publication du rapport, les noms ont été expurgés de sorte qu’il n’était plus immédiatement clair qui était le mauvais fournisseur d’hébergement. Ce message vise à éclairer un peu plus les individus apparemment derrière cette mystérieuse société d’hébergement voyous – une société appelée HôteSailor[dot]com.

Le rapport Trend observe que le fournisseur d’hébergement de serveurs privés virtuels (VPS) basé aux Pays-Bas, sans nom, semble avoir peu de clients légitimes, et que la quantité d’abus qui en émane « est si stupéfiante que cette société restera sur notre liste de surveillance dans le prochain quelques mois. »

hstm

Quelle est exactement l’horreur crachant de la société que Trend s’efforce de ne pas nommer HostSailor.com ? Pour commencer, selon Données de tendance (PDF) HostSailor est depuis longtemps le foyer d’attaques liées à une campagne de cyberespionnage russe baptisée « .” Du rapport :

« Pawn Storm semble se sentir chez lui. Ils ont utilisé la société d’hébergement VPS pour au moins 80 attaques depuis mai 2015. Leurs attaques ont utilisé des serveurs C&C, des sites d’exploitation, des campagnes de harponnage, des sites de phishing Webmail gratuits ciblant des utilisateurs de haut niveau et des sites de phishing d’informations d’identification très spécifiques contre des agences gouvernementales de pays comme Bulgarie, Grèce, Malaisie, Monténégro, Pologne, Qatar, Roumanie, Arabie saoudite, Turquie, Ukraine et Émirats arabes unis. Pawn Storm utilise également régulièrement le fournisseur VPS aux Pays-Bas pour l’espionnage domestique en Russie.

« Outre Pawn Storm, un groupe moins sophistiqué d’acteurs malveillants appelé DustySky (lien PDF ajouté) utilise le fournisseur VPS. Ces acteurs ciblent Israël, les entreprises qui font des affaires en Israël, en Égypte et dans certains autres gouvernements du Moyen-Orient.

QUI EST HOSTSAILOR ?

Le rapport de Trend sur HostSailor pointe vers un profil LinkedIn pour un Alexandre Freeman chez HostSailor qui listes son emplacement comme Dubaï. Le site Web de HostSailor indique que la société possède des serveurs aux Pays-Bas et en Roumanie, et qu’elle est basée à Dubaï. La société a été mise en ligne pour la première fois au début de 2013.

Ron Guilmette, un chercheur anti-spam qui m’a informé du rapport Trend et dont les recherches ont été présentées à plusieurs reprises sur ce blog, a contacté Freeman par e-mail. Guilmette plus tard posté sur la liste de diffusion Ripe.net la réponse au vitriol et menaçante qu’il a dit avoir reçue en réponse.

Un extrait de la réponse que Guilmette a déclaré avoir reçue d'un employé de HostSailor nommé Alexander Freeman.

Un extrait de la réponse que Guilmette a déclaré avoir reçue d’un employé de HostSailor nommé Alexander Freeman.

Peut-être que la colère de M. Freeman a déjà été dirigée contre Trend Micro, ce qui pourrait expliquer leur suppression du nom « HostSailor » de son rapport. Un porte-parole de Trend Micro a refusé d’expliquer pourquoi la société avait rédigé son propre rapport après la publication, affirmant seulement qu’« au moment de la publication, nous suivions notre protocole de divulgation standard ».

En tout cas, j’ai commencé à soupçonner qu' »Alexander Freeman » n’était qu’un pseudonyme (Trend a également noté ce soupçon dans son rapport). En parcourant les enregistrements historiques d’enregistrement WHOIS pour le domaine hostsailor.com, j’ai remarqué que le nom de domaine avait changé de mains à la fin de 2012. Effectivement, une simple recherche Google est apparue. ce fil à Webhostingtalk.com en décembre 2012, qui a été lancé par un Jordan Peterson qui dit qu’il cherche à vendre hostsailor.com.

Contacté par BreachTrace, M. Peterson a déclaré que la personne qui avait répondu à propos de l’achat du domaine s’appelait Ali Al-Attiyahet que cette personne a utilisé les adresses e-mail suivantes :

[email protected]
[email protected]
[email protected]

« Je me souviens qu’Ali m’a dit qu’il n’avait pas de paypal, alors un ami m’a envoyé l’argent pour le domaine, j’ai recherché les informations de paypal pour vous et [Ali’s friend’s] nom est Khalid Cook, [email protected]« , m’a dit Peterson. « Les informations légales pour le transfert de domaine ont été données comme suit :

152-160, chemin de la ville
Londres ec1v 2nx
ROYAUME-UNI »

Cette adresse postale correspond à une entreprise nommée « votrebureauvirtuellondres.co.uk», qui propose des services de réponse aux appels pour les entreprises qui souhaitent répertorier une adresse prestigieuse à Londres sans y avoir une présence physique.

Ali Al-Attiyah est répertorié comme le titulaire officiel de hostsailor.com et de plusieurs autres domaines très similaires. Plus intéressante, cependant, est cette adresse e-mail donnée pour M. Khalid Cook : [email protected]. Selon une recherche « WHOIS inversée » commandée à DomainTools.comcette adresse e-mail Yahoo a été utilisée dans les enregistrements d’enregistrement d’origine pour exactement un domaine : santrex.net.

Santrex (mieux connu sur Webhostingtalk.com sous le nom de « Scamtrex« ) était une société « d’hébergement à l’épreuve des balles » extrêmement douteuse – essentiellement un mini-FAI spécialisé dans l’offre de services largement à l’abri des demandes de retrait et de la pression des forces de l’ordre occidentales. À l’époque, la base de données Safebrowsing de Google avertissait que près de 90 % des sites du réseau de Santrex tentaient d’imposer des logiciels malveillants aux visiteurs ou hébergeaient des logiciels malveillants utilisés dans des attaques en ligne.

Santrex a été contraint de fermer ses portes au début de 2013, après que les serveurs principaux de l’entreprise ont été massivement piratés et que les comptes PayPal et de carte de crédit qu’il utilisait pour accepter les paiements des clients auraient été saisis par des inconnus. Dans ses derniers jours en tant que fournisseur d’hébergement, la principale voix de Santrex sur Webhostingtalk.com – un utilisateur nommé « khalouda” – a publié de nombreuses diatribes qui font étrangement écho à l’invective adressée à Guilmette par M. Freeman de HostSailor.

Le point de vue de Google sur les réseaux les plus malveillants au monde au cours des 12 derniers mois.

Le point de vue de Google sur les réseaux les plus malveillants au monde au cours des 12 derniers mois.

QUI EST KHALID COOK ?

J’ai commencé à soupçonner que Khalid Cook pourrait aussi être un pseudonyme. Quelques minutes de recherche en ligne découvertes ce profil Santrex de février 2013 sur gidforums[dot]rapporterqui indique que Santrex est apparu pour la première fois en 2001 en tant que société d’hébergement appelée connectpower[dot]rapporter.

Hélas, les enregistrements d’enregistrement WHOIS originaux pour connectpower[dot]net indiquent qu’il a été enregistré en novembre 2001 auprès d’un Khalid Hemidaun individu qui a donné une adresse physique en Égypte et l’adresse e-mail [email protected]. Ce cache archive.org de connectpower[dot]la page « Personnel » du net semble confirmer la présence de l’organisation en Égypte, affirmant que les clients de ConnectPower vivant en Égypte peuvent payer par l’intermédiaire de l’un des membres du personnel, en espèces. Cette page révèle également Numéro ICQ de Hemida.

Site Web de ConnectPower en 2003.

Site Web de ConnectPower en 2003.

Une recherche Google sur Khalid Hemida donne au moins deux différent connectpower[dot]listes d’entreprises nettes qui incluent l’adresse e-mail [email protected]et qui réclamer le site Web « botland.org ».

Cette adresse Hotmail semble avoir été utilisée pour enregistrer un compte Facebook pour un utilisateur de Doha, au Qatar, qui s’est enregistré sous le nom de Khalid Hemida mais qui utilise maintenant le nom « Karam Khalid.” La photo de profil du compte a apparemment été extraite d’un numéro de BusinessWeekselon le service de recherche d’images Tineye.com. UNE autre compte Khalid Hemida sur Facebook appartient à un vieil individu qui dit qu’il vient d’Égypte et que sa ville actuelle est Dubaï.

Mais qu’en est-il de cette référence « botland » – à la fois l’adresse [email protected] revendiquée par Hemida et le domaine botland[dot]org ? Cette page en cache de botland[dot]org enregistré par le Archives Internet en juin 2011 fait référence à « un canal BotLending automatisé », géré par au moins quatre utilisateurs principaux de Roumanie.

Botland était une chaîne sur Sous-réseauune vaste mer de communautés textuelles appelées Chat de relais Internet (IRC). Botland était un endroit où les gens pouvaient télécharger des robots spéciaux conçus pour gérer les utilisateurs et préserver l’ordre sur un serveur IRC, mais principalement pour empêcher le canal d’être piraté par d’autres utilisateurs ou robots. La raison pour laquelle je le mentionne est que Undernet en 2001 aurait été l’endroit idéal pour rencontrer de nouveaux clients à la recherche d’entreprises d’hébergement Web douteuses.

Pour ramener ce cercle complet au rapport sur les tendances: je dois noter que si HostSailor est honnête sur le lieu où la société est constituée – à Dubaï -, elle facilite depuis longtemps les attaques de cyberespionnage Pawn Storm susmentionnées contre son propre pays hôte. Pour cette raison, j’imagine que certaines autorités gouvernementales des Émirats arabes unis pourraient être intéressées à examiner de plus près HostSailor et ses opérations.

Pour mémoire, j’ai demandé des commentaires à HostSailor et aux différentes adresses répertoriées dans cette histoire pour MM. Freeman, Cook et Hemida. Je mettrai à jour cette histoire au cas où l’un de ces pings générerait une réponse.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *