pakbugs

F-Secure le relevait hier, le site pakbugs.com subit des attaques répétées depuis plusieurs jours. Ce forum où s'échangent les techniques de piratage, mais où sont aussi commercialisées des numéros de carte bancaire et autres produits d'activités illicites n'était plus accessible hier, mais est à nouveau visible aujourd'hui.

Un groupe arborant la signature "WAR Against Cyber Crime" a ainsi revendiqué cette action sur la liste de discussion de Full Disclosure, l'accompagnant d'une liste supposée d'utilisateurs de ce forum, invitant les services d'investigation à se pencher sur leurs cas.

En France aussi, rappelez-vous...

Ce type de forums n'est pas présent qu'à l'étranger. Ainsi, en novembre 2008, la gendarmerie nationale interpellait les participants à un groupe warez (leurs activités étaient ici centrées sur la contrefaçon de vidéos, mais étaient aussi facilitées par des atteintes à des systèmes de traitement automatisé de données, ou de nombreux autres dossiers précédents et à venir, comme en mai 2008, une enquête de la gendarmerie menait à l'interpellation de 22 personnes animant un forum très semblable à Pakbugs.

Quid de Pakbugs?

www.pakbugs.com, pakbugs.com ou india.pakbugs.com sont hébergés sur deux serveurs Web distincts. Le premier est hébergé actuellement en Allemagne sur une adresse IP d'un serveur de la société Hetzner... Les deux autres sont hébergés aux Etats-Unis.

Le nom de domaine est enregistré depuis le 03/01/2009, sous une identité vraisemblablement inventée. En mai 2009, ce groupe se présentant comme d'origine Pakistanaise revendiquait le piratage du site Web de Google Maroc, au mois d'août 2009 du site Web du gouvernement Pakistanais (www.sindh.gov.pk). On en trouve des traces sur Zone H.

La liste révélée par le groupe de corsaires revendiqué est inexploitable sur le plan juridique, puisque la source ne peut pas en être vérifiée (et pour certaines législations son origine illégale posera problème). Il serait certainement plus efficace que ce type de groupes fasse l'objet d'investigations de la part du pays hôte (d'ailleurs une enquête est peut-être en cours et cette action illégale a pu y nuire!).

A suivre donc !

2

Canaux de discussion IRC utilisés par les cybercriminels (Image: Symantec)
Canaux de discussion IRC utilisés par les cybercriminels (Image: Symantec)

Le 17 septembre 2009, David Goldman de CNNMoney.com publie une enquête sur les activités des cybercriminels telles qu'elles sont perçues aux États-Unis.

Il replace d'abord les choses sur le terrain adéquat: aujourd'hui les cyberdélinquants sont avant tout motivés par le gain financier. Effectivement, grâce aux multiples scénarios d'escroquerie développés, ce sont des milliards d'euros qui sont à leur portée. Le premier vecteur de ces méfaits serait la diffusion de logiciels malveillants selon l'article.

Une fois les informations personnelles des victimes récoltées grâce aux divers chevaux de Troie, les escrocs décrits dans l'article se retrouvent sur de véritables places de marché confidentielles organisées sur des canaux de discussion IRC privés. $0.98 pour un numéro de carte de crédit acheté en gros ou $10 environ pour une identité "complète".

Des intermédiaires fournissent des services particulièrement utiles pour ce commerce: vérification de la validité de la carte bancaire, transfert d'argent sur des comptes offshore,... Certains de ces intermédiaires sont en fait des victimes malgré elles, les "mules" qui croient - avec plus ou moins de bonne foi - travailler pour un employeur étranger. Ainsi il leur est demandé de retirer l'argent qui arrive sur leur compte bancaire ou un colis à la poste pour le réexpédier ailleurs dans le monde, contre une rémunération de 10 à 15% de la valeur.

Les enquêteurs du FBI déclarent avoir infiltré ces canaux IRC... Albert Gonzales était d'ailleurs l'un de leurs informateurs.

Vu le nombre de victimes dans le monde aujourd'hui, de gros progrès restent à faire en matière de prévention: sur l'efficacité des logiciels antivirus, la détection des courriers électroniques d'escrocs ou tout simplement une bonne information du public qui tombe trop souvent dans le panneau.

ietflogotrans

Comme pour faire suite à l'article que j'ai publié hier, une information tombe à propos sur le site de SANS : l'IETF (Internet engineering task force), l'organisme qui anime la rédaction des standards de l'Internet, travaille depuis le mois de juillet 2009 sur un projet de standard de recommandations à destination des fournisseurs d'accès pour lutter contre la propagation de réseaux de machines zombies parmi leurs abonnés.

Un élément de plus à rajouter sur ce débat pour un rôle actif des FAI dans la lutte contre ces phénomènes criminels.

1

L'association des fournisseurs d'accès Australiens a publié le 11 septembre un projet de code de conduite pour faciliter la lutte contre la diffusion des logiciels malveillants chez leurs abonnés.

Il s'agit ici de lutter contre toutes les formes de malveillances qui sont facilitées par les centaines de milliers de machines zombies que constituent les ordinateurs des abonnés à Internet qui ont été infectés par des chevaux de Troie. Ainsi, le client détecté comme participant à de telles activités, par exemple parce qu'il diffuse de très nombreux pourriels, serait alerté par son fournisseur d'accès et sensibilisé sur des mesures de sécurité adaptées.

Les autres mesures proposées, au-delà de l'information de l'abonné, sont la limitation de l'accès, le placement de la connexion de l'abonné dans un environnement qui lui donne des indications sur les mesures de sécurité à appliquer, la coupure temporaire de l'accès à certains ports ou protocoles de l'Internet. Il s'agirait aussi pour les fournisseurs d'accès d'informer les autorités lorsque des incidents particulièrement graves sont détectés qui pourraient nuire au fonctionnement des infrastructures d'importance vitale.

Cette proposition, qui semble présentée de façon assez volontariste par les différents partenaires publics et privés concernés est assez intéressante et semble recevoir le soutien de certains spécialistes en sécurité de l'Internet. D'ailleurs, au-delà de l'assistance aux internautes concernés et des qualités éventuellement préventives de ces mesures vis-à-vis des autres internautes, ce dispositif offrirait aux fournisseurs d'accès Australiens un moyen, reconnu par le gouvernement, de diminuer l'impact des infections de leurs clients sur leurs infrastructures, par exemple offrir un service de meilleure qualité à leurs abonnés (bande passante, accès au serveur d'envoi de courrier électronique, etc.).

L'exemple Australien pourrait-il être reproduit ailleurs et en France notamment ? Il revient évidemment aux différents partenaires d'en discuter. Les débats actuels sur la neutralité du réseau et la coupure de l'accès Internet dans le cadre de la loi dite "HADOPI" donnent un éclairage particulier à cette proposition. Ainsi, quelles précautions faudrait-il prendre pour que l'internaute ne soit pas abusivement lésé par ces mesures ? Dans quel délai l'internaute pourra-t-il obtenir le rétablissement complet de ses services ? Ne peut-on automatiser la détection du rétablissement d'une situation normale sur la connexion de l'abonné ?

Ce chantier mérite en tous cas d'être discuté, dans un univers où l'essentiel des activités illicites sur Internet sont ou peuvent être facilitées par les botnets et autres formes d'action des logiciels malveillants. Corollairement, les spécialistes se posent souvent la question de savoir s'il est légitime ou souhaitable pour une personne officielle (un service d'enquête, agissant éventuellement sous le contrôle d'un magistrat) qui aurait pris le contrôle d'un serveur de commande de botnet de commander à l'ensemble des machines victimes de désactiver le logiciel malveillant ou afficher un message d'alerte officiel sur l'écran de la victime. Ces mesures, peut-être impressionnantes, seraient très certainement efficaces, mais comment les encadrer ? Quelles mesures de communication devront les accompagner ?

En conclusion, il est grand temps d'envisager et de discuter sérieusement des solutions industrielles et de grande ampleur face au phénomène des logiciels malveillants qui a pris lui-même une dimension industrielle.

Un phénomène de plus en plus courant est dénoncé aujourd'hui par un article posté sur Switched.com: la présence de vitrines commercialisant des services de "piratage" divers et variés. Bien évidemment, je ne donne pas dans cet article de lien directement cliquable vers ces sites web dont l'activité est illicite.

Ici ce sont deux sites Web qui sont présentés : yourhackerz.com et slickhackers.com.

Que proposent-ils ? On peut voir sur le site du premier la page d'accueil suivante :

Page d'accueil de YourHackerZ.com
Page d'accueil de YourHackerZ.com

et les services proposés: "Pour 100 dollars, nous crackons les mots de passe des principaux sites de messagerie web". Ils indiquent être en relation avec slickhackers.com. On y retrouve le même concept, mais étendu à d'autres types de sites comme Facebook mais aussi les mêmes messageries en ligne.

Aparté juridique

Sur le plan juridique, je rappelle que non seulement les services commercialisés par de telles personnes sont répréhensibles pénalement (2 à 3 ans de prison et 30.000 à 45.000 euros d'amende au moins en France, selon que le procédé suppose ou non de modifier le mot de passe), mais de la même façon pour toute personne qui achèterait un tel service ou en utiliserait le résultat. De surcroît, il s'agit vraisemblablement d'un groupe de délinquants rentrant dans la définition de la délinquance organisée, donc susceptibles de circonstances aggravantes.

Creusons un peu le dossier

Le site web que nous examinons ici est hébergé sur une adresse IP (94.194.139.xxx) qui héberge plusieurs sites Web :

  • www.hackfacebookpasswords.com
  • www.yourhackers.net
  • yourhackerz.com
  • www.slickhackers.com
  • www.yourhackerz.com

Un examen des informations d'enregistrement de ces domaines nous donne des informations d'enregistrement pour :

  • Un certain V.M. (pas besoin de mentionner le nom complet pour la démonstration et de toutes façons c'est certainement un alias), chez Dynadot.com
  • Un certain V.S.
  • Un certain M.K.
  • Un certain H.S., dans un autre bureau d'enregistrement (EHostpros.com), avec cette fois-ci une adresse postale au Royaume-Uni.

L'adresse IP du serveur est identifiée elle-même comme correspondant à un serveur hébergé au Royaume-Uni (AS 35228, Beunlimited), qui semble en réalité être un fournisseur d'accès, donc vraisemblablement ici un hébergement artisanal "à domicile" (www.bethere.co.uk). Soit il s'agit de l'abonnement du premier suspect à inquiéter, soit il s'agit d'une machine dont le contrôle a été pris, à l'insu de son propriétaire...

Combien de temps avant que les personnes derrière ce site web soient identifiées et ce site fermé ? En plus, rien ne nous prouve (et je ne vais pas essayer ni les lecteurs non plus !) que le service offert soit réel.

Au passage, on note ici l'utilisation des services de Dynadot qui est souvent cité comme lié à des enregistrements de noms de domaines aux activités peu recommandables, tout simplement parce que cette société offre des services d'anoymisation et certainement des tarifs attractifs. Apparemment ces sites web sont en ligne depuis le début de l'année 2008 au moins...

En France, ce ne serait pas simple de mener une enquête sur ce type de site Web. En effet, il n'est possible de rentrer en contact et échanger avec des délinquants supposés (et donc vérifier les services proposés) que pour les infractions liées aux atteintes aux mineurs et de traite des êtres humains, visées par les articles 706-35-1 et 706-47-3 du code de procédure pénale introduits par la loi sur la prévention de la délinquance de mars 2007 (j'ai évoqué ce thème des cyberpatrouilles à plusieurs reprises). Souhaitons que ces dispositions soient étendues aux infractions d'atteintes aux systèmes de traitement automatisé de données.

5

groups_logoLes botnets, ces réseaux chevaux de Troie installés sur les ordinateurs de tout un chacun pour organiser des attaques coordonnées, ont besoin d'un mécanisme pour en permettre le contrôle par leur maître. Ainsi, des canaux de discussion IRC, des sites Web ou des réseaux Pair à Pair sont utilisés pour transmettre les commandes de façon quasi instantanée à l'ensemble des machines "zombie" connectées à un botnet particulier.

Des chercheurs de Symantec décrivent dans un article publié le 11 septembre 2009 un mode de commande original: l'utilisation d'un groupe de discussion hébergé chez Google.

Dans l'exemple cité, il s'agit d'une connexion sur un groupe privé "escape2sun", où le maître du botnet publie ses commandes. Ce mode de diffusion des commandes a permis aux auteurs de l'étude de faire un examen approfondi des commandes publiées. L'analyse du cheval de Troie a permis aux auteurs de l'article de déchiffrer les commandes et les réponses des bots.

Dans ce cas précis, il semble qu'il ne s'agisse que d'un essai ou d'un prototype étant donné le faible nombre de machines zombies repérées (de l'ordre de 3000) et les commandes de débogage retrouvées. En tous cas, nous avons ici un nouveau mode de canal caché de contrôle de botnets à ajouter à la liste !