Lorsque vous vous cachez dans le crime informatique souterrain, il est avantageux de surveiller vos arrières et de garder votre compteur BS réglé sur «maximum». Mais lorsque vous avez accès à une section d’élite du marché noir d’un forum du crime étroitement surveillé auquel très peu ont accès, il est facile de baisser la garde. C’est ce que j’ai fait plus tôt cette année, et cela m’a poussé à chasser une fausse histoire. Ce billet de blog vise à remettre les pendules à l’heure sur ce front et à offrir un récit édifiant (et peut-être divertissant) à d’autres cyberdétectives potentiels.
Le 16 janvier 2013, j’ai publié un article intitulé « Le nouvel exploit Java récupère 5 000 $ par acheteur ». Les détails de cette histoire proviennent d’un fil de vente publié sur un sous-forum exclusif de Darkode.com, une communauté souterraine secrète qui a longtemps servi de bazar pour toutes sortes de produits cybercriminels, y compris des kits d’exploitation, des services de spam, des programmes de ransomware et des botnets furtifs. J’ai maintenu une présence sur ce forum par intermittence (principalement) au cours des trois dernières années, en grande partie parce que Darkode a été un endroit fiable pour trouver des informations sur zéro-joursou des menaces de grande valeur qui exploitent des vulnérabilités logicielles jusque-là inconnues, c’est-à-dire des menaces qui sont partagées ou utilisées par des attaquants avant que le développeur du logiciel cible n’ait connaissance de la vulnérabilité.
J’avais déjà cassé plusieurs autres histoires sur des exploits zero-day à vendre sur Darkode qui sont apparus plus tard « dans la nature » et confirmés par les fournisseurs concernés, et ce fil de vente a été publié par l’un des membres les plus fiables du forum. Le fil de vente a également été créé à une époque où le créateur de Java Oracle Corp. était aux prises avec plusieurs jours zéro en Java.
Ce que je ne savais pas à l’époque, c’est que ce fil de vente particulier n’était guère plus qu’un piège soigneusement tendu par les administrateurs de Darkode pour découvrir quels comptes j’utilisais pour me cacher sur leur forum. Ironiquement, j’ai récemment appris l’existence de ce piège après que des pirates au chapeau blanc/gris aient compromis pratiquement tous les comptes d’administrateur et les messages privés sur Darkode.
« On dirait que Meguetaoui a avalé l’appât, et j’ai une idée de comment l’attraper maintenant pour le prochain fil », a écrit l’administrateur de Darkode « Mafi » dans un message privé du 16 janvier à un co-administrateur qui utilise le surnom « sp3cial1st ».
À la suite de cet article, les administrateurs ont comparé les notes indiquant quels utilisateurs avaient consulté le faux fil de vente Java zero-day pendant la brève période de deux jours où il était en ligne sur une partie restreinte de Darkode. « J’ai examiné attentivement les journaux liés au thread java 0day », a écrit sp3cial1st à un administrateur de Darkode qui a utilisé le pseudo « 187 ».
Une note latérale est probablement dans l’ordre ici. Cet utilisateur de 187 était apparemment assez paranoïaque ; il a changé de pseudo sur le forum comme autant de sous-vêtements. Dans cette capture d’écran d’un message privé entre 187 et sp3cial1st, nous pouvons voir 187 demander à ce que son nom de forum soit changé de son ancien surnom – « larme » – à 187. Ceci est intéressant car « larme » était le surnom utilisé par le membre de Darkode qui s’est vanté auprès d’autres administrateurs d’avoir lancé son ami une attaque par déni de service distribué sur mon site le 10 juillet 2012, après avoir écrit sur un exploit zero-day dans Plesk que j’avais découvert en vente sur Darkode. Soit dit en passant, 187 semble être un citoyen canadien qui aime utiliser le pseudonyme « Ryan Russels » ; de son propre aveu, 187 est un homme de 36 ans vivant actuellement avec sa femme à Dubaï et recherché au Canada pour des accusations criminelles non précisées.
L’administrateur de Darkode « Mafi » explique son système de filigrane.
Quoi qu’il en soit, des messages de forum privés divulgués indiquent que l’administration de Darkode a proposé la fausse idée de Java 0day après avoir déterminé que leur schéma de filigrane intelligent avait été exposé. L’administrateur du forum Mafi a conçu un système pour étiqueter secrètement chaque page Web du forum avec des marqueurs uniques qui pourraient aider à identifier puis à interdire les comptes du forum qui étaient utilisés par les chercheurs en sécurité pour prendre des captures d’écran.
Le système de filigrane de Mafi peut extraire l’ID utilisateur utilisé pour prendre n’importe quelle capture d’écran tant que cette image inclut les informations sous la barre latérale « Auteur » sur le bord gauche de la page du forum : comme expliqué dans la capture d’écran à gauche, le système de filigrane calcule deux qualités présentes dans cette zone : le champ « rep » ou réputation, et le nombre de publications de l’utilisateur.
J’ai débattu de l’opportunité de publier ce message détaillant comment j’ai été trompé par la campagne de désinformation / la chasse aux taupes de Darkode, en partie parce que je craignais que tout expliquer puisse entraîner la «sortie» de certaines de mes sources et méthodes. Mais je crois que l’on ne grandit qu’en admettant ses erreurs, et donc à Oracle et à tous les lecteurs que j’ai pu déranger ou induire en erreur par mon histoire précédente sur ce jour zéro apparemment faux, je m’excuse sincèrement.
Incidemment, ces captures d’écran ne sont pas l’histoire complète. Plus tôt cette semaine, un blogueur sur la sécurité que j’inclus depuis longtemps dans mon blogroll — Xylitol — fuite d’une énorme archive de captures d’écran il a été tiré de sa propre cachette sur Darkode. Ceux-ci, combinés à la douzaine de captures d’écran du compte administrateur dans cet article, offrent des heures de plaisir à tout chercheur intéressé par le profilage des membres les plus actifs de ce forum.
Par exemple, en regardant la signature personnelle utilisée par l’un des administrateurs de Darkode – un utilisateur avec le nom d’écran « Parabola » – nous pouvons voir que cet utilisateur possède plusieurs entreprises louches, y compris un service qui aide les utilisateurs à déplacer de l’argent entre des monnaies virtuelles telles que WebMoney et Réserve de la Liberté. En regardant de plus près ce service, on peut découvrir que le même serveur héberge également des services de spam et d’enregistrement de frappe. Selon son poste d’introduction à Darkode lorsqu’il a rejoint en 2009, Parabola travaillait dans l’informatique dans une société de logiciels basée au Texas.
Une inspection plus approfondie de la capture d’écran de l’intro de Parabola montre qu’il a été invité à Darkode par un utilisateur nommé Iserdo, l’ancien propriétaire du forum. Cette dernière identité appartenait à un hacker arrêté en 2010, soupçonné d’avoir créé, vendu et entretenu le Botnet « Mariposa » ou « Butterfly », une machine criminelle qui a infecté des millions de PC. Parmi les autres membres actifs de Darkode qui ont été arrêtés par les autorités pour activité de botnet, citons BX1, un ressortissant algérien de 24 ans qui a récemment été arrêté à Bangkok pour avoir soi-disant gagné des millions de dollars en exploitant des botnets alimentés par le cheval de Troie ZeuS. Fait intéressant, BX1 lui-même a averti d’autres membres de Darkode en novembre 2012 que le FBI enquêtait sur lui. Une partie de la réaction de la communauté Darkode à son arrestation peut être lue ici et ici.