Celui qui aurait dû jouer un peu moins à Minecraft (2/3)
Ou comment le journaliste indépendant Brian Krebs va réussir à traquer le pirate informatique qui s'est attaqué à son site web.
Bonjour,
Bienvenue pour la suite de cet épisode sur Mirai, ce puissant botnet qui ciblait l’internet des objets. Mais tout d’abord, pour ceux qui ne sont pas inscrits, voici le formulaire pour recevoir directement ce message dans votre boîte mail.
La semaine dernière, je vous parlais d’un curieux rebondissement : deux mois après l’apparition du botnet Mirai, son créateur annonce la publication de son code source. Une retraite méritée, explique en substance l’internaute Anna-senpai, parce qu’il a fait son beurre.
Il y a au moins une personne qui ne va pas se satisfaire de cette explication. Il s’agit du journaliste Brian Krebs, qui, souvenez-vous, a été personnellement visé. Quelques mois plus tard, il va livrer sur son blog les conclusions de son enquête fouillée sur les traces d’Anna-senpai.
Mais tout d’abord quelques lignes si vous ne connaissez pas le journaliste indépendant Brian Krebs. Ancienne plume pendant quatorze ans du Washington Post, l’un des quotidiens américains les plus réputés, cette figure du journalisme cyber anime désormais un blog qui, s'il affiche une mise en page un peu désuète, est l’un des sites les mieux informés sur la cybercriminalité.
On le saura plus tard, mais Brian Krebs a vu juste dans son article. Comme souvent dans les enquêtes cyber, cela montre la force d’investigations basées sur des informations en source ouverte. Et que même les internautes les plus malins laissent souvent deux ou trois informations derrière eux.
Brian Krebs tire d’abord un premier fil, celui des prédécesseurs de Mirai. Le botnet n’est pas arrivé de nulle part mais faisait suite à une longue lignée de logiciels malveillants. Détail intéressant, deux ans plus tôt, un cybergang, lelddos, avait mené plusieurs attaques avec l’un d’entre eux.
Des actions malveillantes dirigées vers des serveurs Minecraft, ce jeu de construction extrêmement chronophage. Ce qui est tout sauf une surprise. L’un des enquêteurs du FBI, Doug Klein, avouera même à Wired être surpris quand une affaire d’attaque en déni de service n’est pas liée d’une manière à une autre à ce jeu en ligne.
Si Minecraft appartient désormais à Microsoft, il y a tout un pan du business autour de ce jeu qui est généré par la location de serveurs destinés à permettre le jeu en multijoueur. On ne parle pas de quelques centaines d’euros. A l’époque, cela peut se chiffrer en plusieurs dizaines de milliers de dollars par mois.
Ce qui excite certaines convoitises. Ceux qui louent des serveurs se livrent une concurrence féroce, quitte par exemple à utiliser des attaques en déni de service pour éjecter la concurrence.
A partir de la mi-2015, des serveurs Minecraft ont commencé à être attaqués par un botnet, Qbot, fonctionnant comme Mirai sur la compromission d’objets connectés. Le point commun des serveurs visés? Ils sont défendus par ProxyPipe, un spécialiste de la protection contre les attaques en déni de service.
Alors, ces attaques en déni de service visent-elles à faire tomber la concurrence? C’est un peu plus subtil. En fait, les DDoS ont été précédées par des menaces d’un jeune homme, Christopher Sculti, soit disant à la tête d’une société de protection. Une entreprise liée à un autre fournisseur de protection DDoS, ProTraf Solutions, l’un des concurrents directs de ProxyPipe…
Il y a visiblement quelque chose de pourri dans le monde de la riposte aux attaques en déni de service. Le scénario qui se dessine, évoqué par le patron de ProxyPipe, fait penser à une version 2.0 des gangs de rue qui harcelaient les commerces new-yorkais du début du 20e siècle. Les attaques DDoS semblent avoir pour but d’inciter les victimes à changer de “protecteur”, en récupérant les clients mécontents de leur prestataire.
Tout cela va faire tilt chez Brian Krebs. Car lui aussi a été contacté par Christopher Sculti. Tout d’abord en 2015, mais surtout le jour même de l’attaque contre son site, exactement six heures avant l’armageddon. Il venait de mentionner son nom dans un article sur les attaques en déni de service.
Pour le journaliste, il y a un lien entre Christophe Sculti, lelddos et ProTraf Solutions. Brian Krebs s’intéresse ainsi au profil des employés de ProTraf, comme ce Josiah White, alias LiteSpeed sur les forums de hackers. Un bon client. Quant au président de l’entreprise, il s’appelle Paras Jha.
Ce dernier affiche un CV en ligne sur Linkedin particulièrement intéressant. Il mentionne tout un tas de langages de programmation: C#, Java, Golang, C, C++, PHP, x86 ASM. Mais là encore, un détail va faire tilt pour Brian Krebs.
Sur Hackforums, Anna-senpai mentionnait dans son CV la maîtrise des langages suivants: ASM, C, Go, Java, C # et PHP. Des informaticiens qui connaissent le C, Java ou le PHP, il y en a des tonnes. Mais le Go ou le Golang est plus obscur, alors que ce langage a été utilisé pour coder Mirai.
C’est un début de piste. Mais il va y avoir bien d’autres indices. Exemple: l’un des pseudos de Paras Jha, c’est dreadiscool. Un internaute qui s’est lamenté publiquement des attaques en déni de service visant les serveurs Minecraft et qui finalement a préféré se concentrer sur la protection contre les attaques DDoS plutôt que la gestion des serveurs.
Un pseudo que l’on retrouve également sur un site consacré aux Anime, où Dreadiscool cite Mirai Nikki dans ses films regardés, ou sur le forum Reddit, où quelqu’un au pseudo similaire s’intéresse fortement aux vagues d’attaques en déni de service.
La dernière pièce du puzzle est fournie par la firme Digital Shadows. Avant d’utiliser le pseudo Anna-senpai sur Hackforums, l’internaute utilisait Ogmemes123123 et sans doute également OG_Richard_Stallman. Il existe justement un compte facebook du même nom d’un étudiant en informatique de Rutgers.
Comme Paras Jha, qui étudie dans cette université, l’un des grands établissements publics du supérieur des Etats-Unis. Et sur Reddit, le même pseudo a lancé un fil sur Reddit sur les attaques DDoS ayant visé… Rutgers. L’université avait été visée au deuxième semestre 2015 par six attaques en déni de service d’ampleur, revendiquées par… Vous l’avez deviné, OG_Richard_Stallman.
Même si un dox en ligne semble indiquer que OG_Richard_Stallman vit en Turquie, Brian Krebs ne suit pas cette fausse piste. Il va reparler de tout cela à un ancien employé de ProTraf, qui finit par lui lâcher le morceau. Oui, Paras Jha s’était bien vanté d’avoir lancé des attaques en déni de service contre son université.
"Quand j'ai vu que le code Mirai avait été divulgué, j'ai directement demandé à Paras à ce moment-là, 'Est-ce que c'était toi ?', et il a souri et a dit oui", rapporte cet ancien proche à Brian Krebs. Pour le journaliste, la conclusion est limpide. La petite frappe qui a tenté de faire disparaître son site s’appelle Paras Jha, cet étudiant de 21 ans qui vit dans le New Jersey.
Quelques jours plus tard, après la publication de l’article, Paras Jha envoie au journaliste un démenti. Un curieux communiqué qui commence par signaler une erreur sur la liste des films d’animations préférés par Dreadiscool. On verra ce qu’il faut en penser la semaine prochaine.
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: L’histoire vous a plu? Pour me payer une bière - par exemple une Backward Flag - c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources:
Who is Anna-Senpai, the Mirai Worm Author?
How a Dorm Room Minecraft Scam Brought Down the Internet
How A Minecraft Habit Turned Into A Multinational Business
DDoS Mitigation Firm Has History of Hijacks