La semaine dernière, des hacktivistes ont mis en ligne 400 Go d’e-mails internes, de documents et d’autres données volés Équipe de piratage, une société de sécurité italienne qui a suscité la colère des groupes de protection de la vie privée et des libertés civiles pour avoir vendu des logiciels d’espionnage aux gouvernements du monde entier. Une nouvelle analyse des e-mails divulgués de Hacking Team suggère qu’en 2013, la société a utilisé des techniques perfectionnées par des spammeurs pour détourner l’espace d’adressage Internet d’un fournisseur de services Internet favorable aux spammeurs dans le but de reprendre le contrôle d’un réseau d’espionnage qu’elle avait apparemment mis en place pour le Police militaire nationale italienne.
Hacking Team vend des exploits qui permettent aux clients de déployer secrètement des logiciels espions sur des systèmes ciblés. Au cours de la semaine dernière depuis la fuite des données de l’équipe de piratage, par exemple, Adobe a corrigé deux vulnérabilités zero-day non documentées dans son Lecteur Flash logiciel que Hacking Team avait vendu à des clients en tant que mécanismes de diffusion de logiciels espions.
Les logiciels espions déployés par les exploits de Hacking Team sont essentiellement des chevaux de Troie d’accès à distance conçus pour récupérer les données stockées, les communications enregistrées, les frappes au clavier, etc. des appareils infectés, donnant à l’opérateur du logiciel malveillant un contrôle total sur les machines des victimes.
Les systèmes infestés par les logiciels malveillants de Hacking Team sont configurés pour rechercher périodiquement de nouvelles instructions ou mises à jour sur un serveur contrôlé par Hacking Team et/ou ses clients. Ce type de configuration est très similaire à la façon dont les spammeurs et les cybercriminels conçoivent des « botnets », d’énormes collections de PC piratés qui sont récoltées pour des données précieuses et utilisées à diverses fins néfastes.
Il n’est donc pas surprenant que Hacking Team ait placé ses serveurs de contrôle dans ce cas chez un FAI fortement favorisé par les spammeurs. Les e-mails de l’équipe de piratage divulgués montrent qu’en 2013, l’entreprise a mis en place un serveur de contrôle des logiciels malveillants pour le Groupe des opérations spéciales de la police militaire nationale italienne – également connue sous le nom de « Carabinieri » – une entité chargée d’enquêter sur le crime organisé et le terrorisme. L’une de ces organisations ou les deux ont choisi de positionner ce contrôle à Santrexun fournisseur d’hébergement Web notoire qui servait à l’époque de refuge virtuel pour les spammeurs et les téléchargements de logiciels malveillants.
Mais cette décision s’est retournée contre lui. Comme je l’ai documenté en octobre 2013, Santrex a fermé de manière inattendue tous ses serveurs, à la suite d’une série de problèmes de réseau interne et de temps d’arrêt prolongés. Santrex a pris cette décision après plusieurs mois d’attaques incessantes, de piratages et de pannes d’équipement dans ses installations qui ont causé des problèmes massifs et coûteux pour le FAI et ses clients. Les problèmes de connectivité de l’entreprise ont essentiellement empêché l’équipe de piratage ou les carabiniers de garder le contrôle sur les machines infectées par le logiciel espion.
Selon étude publiée dimanche par Laboratoires de sécurité OpenDNS, à peu près à la même époque, les carabiniers et l’équipe de piratage ont élaboré un plan pour reprendre le contrôle des adresses Internet abandonnées par Santrex. Le plan était centré sur une technique de redirection du trafic connue sous le nom de « détournement de BGP », qui implique qu’un FAI « annonce » frauduleusement au reste des FAI du monde qu’il est en fait le gardien légitime d’une plage d’adresses Internet dormantes qu’il ne possède pas. ont effectivement le droit de contrôler.
Le détournement d’adresse IP n’est pas un phénomène nouveau. Les spammeurs détournent parfois des plages d’adresses Internet qui restent inutilisées pendant des périodes de temps . Les plages d’adresses inactives ou « non annoncées » sont propices aux abus, en partie à cause du fonctionnement du système de routage mondial : les malfaiteurs peuvent « annoncer » au reste de l’Internet que leurs installations d’hébergement sont l’emplacement autorisé pour des adresses Internet données. Si rien ou personne ne s’oppose au changement, les plages d’adresses Internet tombent entre les mains du pirate de l’air.
Apparemment, personne n’a détecté le piratage BGP à l’époque, et cette action a finalement permis à Hacking Team et à son client du gouvernement italien de se reconnecter aux systèmes troyens qui appelaient autrefois leur serveur de contrôle à Santrex. OpenDNS a déclaré qu’il était en mesure d’examiner les enregistrements BGP historiques et de vérifier le piratage, ce qui à l’époque a permis à Hacking Team et aux Carabinieri de migrer leur serveur de contrôle des logiciels malveillants vers un autre réseau.
Cette affaire est intéressante car elle jette un nouvel éclairage sur le double usage potentiel des hébergeurs favorables à la cybercriminalité. Par exemple, les forces de l’ordre sont connues pour permettre à des FAI malveillants comme Santrex d’opérer en toute impunité, car l’alternative – fermer le fournisseur ou interférer d’une autre manière avec ses opérations – peut interférer avec la capacité des enquêteurs à rassembler suffisamment de preuves d’actes répréhensibles commis par de mauvais acteurs. opérant chez ces FAI. En effet, les FAI notoirement mauvais et favorables aux spammeurs McColo et Atrivo en étaient de parfaits exemples avant d’être ostracisés et sommairement fermés par la communauté Internet en 2008.
Mais cet exemple montre que certains organismes d’application de la loi occidentaux peuvent également chercher à dissimuler leurs enquêtes en s’appuyant sur les mêmes techniques et fournisseurs d’hébergement qui sont fréquentés par les criminels mêmes sur lesquels ils enquêtent.
chercheur italien Marco d’Itri a fouillé dans les courriels divulgués de l’équipe de piratage pour découvrir des preuves de ce complot. d’Itri a des liens vers les e-mails (en italien) sur son blog ici.
Mise à jour, 14 h 17 HE : Remplacé dans « Carabinieri » par un acronyme de la police militaire nationale italienne, et ajouté des liens vers des fils de discussion de l’équipe de piratage divulgués discutant du détournement présumé de BGP.