Une attaque de déni de service est en cours depuis ce week-end contre plusieurs sites web de jeu d’argent en ligne. Les sites web suivants sont en effet sous le feu d’une attaque provenant d’un botnet :

• http://www.snai.it – SNAI (Italie)
• http://www.vierklee.com – Vierklee Wettbüro GmbH (Autriche)
• http://www.veikkaus.fi – Veikkaus Oy (Finlande)
• http://www.wsex.com – World Sports Exchange (Antigua)
• http://www.danskespil.dk – Danske Spil (Danemark)
• http://www.wir-wetten.com (Autriche)
• Plus un site pornographique : http://www.video69.ru.

L’attaque a débuté le 15 août dernier, et a brièvement stoppé le 16 dans la matinée, pour reprendre de plus belle un peu plus tard dans la journée. Aujourd’hui, soit trois jours après le début de l’attaque, les sites de jeu en ligne sont toujours indisponibles, à l’exception de wsex.com.

Cette attaque pourrait n’être « qu’une attaque de plus parmi tant d’autres » ; mais voilà, parmi les sites ciblés, le site danskespil.dk n’est pas celui de n’importe quelle entreprise puisqu’il s’agit de la société d’Etat Danske Spil, la loterie nationale danoise, actuellement en position de monopole sur son marché (mais plus pour très longtemps). On aurait imaginé que ses infrastructures informatiques étaient dimensionnées pour résister à une telle attaque.

Il semblerait que cette attaque s’appuie sur une saturation du serveur web par rejeu de requêtes consommatrices de ressources (en l’occurrence : tentatives d’authentification). Donc pas un déni de service réseau classique mais une véritable attaque applicative, beaucoup plus efficace. Le communiqué de presse officiel mentionne en effet 10 millions de tentatives d’ouvertures de session pour le samedi 14 août.

Le serveur de Command & Control (C&C) du botnet à l’origine de cette attaque (dont nous ne révélerons pas l’adresse pour d’évidentes raisons de sécurité) est opéré, sans grande surprise, sur un nom de domaine russe, lui-même hébergé sur un serveur localisé à Taiwan. Le domaine est connu depuis près de six mois pour collecter des données bancaires volées par le malware ZeuS (a.k.a PRG / Ntos / Wsnpoem / …).

Selon certains observateurs, le gang à l’origine de l’attaque serait habitué à pratiquer des dénis de service massifs ciblant pendant plusieurs jours des sites d’un même secteur d’activité. Le gang serait également lié à des noms de domaine de vente de contrefaçon de produits de luxe. Ce groupe est actif depuis plusieurs années ; en 2007, il s’était fait remarquer pour ses tentatives de recrutement de mules ; la même année, le même serveur était déjà utilisé dans des campagnes de drive-by-download à grande échelle.

Cette attaque groupée n'est pas un cas isolé : en avril dernier, nous avions travaillé sur un cas de déni de service également orienté vers de nombreux sites de l'industrie du jeu d'argent en ligne. Cette attaque était perpétrée par un botnet d'environs 100.000 machines, et ne portait pas uniquement sur la saturation des serveurs ciblés, mais sur la recherche active de vulnérabilités d'injection SQL -- le déni de service lui-même servant probablement à dissimuler les tentatives d'intrusion sous une pluie de requêtes inutiles.

Contrefaçon, blanchiment, vol de données bancaires, extorsion de fonds par déni de service… Un bel exemple de petite entreprise qui ne connaît pas la crise. Les cybercriminels peuvent ainsi espérer une belle longévité, pour peu qu’ils restent du bon côté de la frontière.

Aujourd’hui, le forum r00t-y0u, bien connu pour héberger toutes sortes d’outils et transactions frauduleuses, affiche un bien étrange message sur sa page d’accueil : son administrateur déclare que le site était sous surveillance des forces de l’ordre, et que toutes les discussions et adresses IP de ses membres font l’objet d’investigations, et que certains ont déjà été arrêtés. Le forum lui-même a disparu.

L’hébergement du site a d’ailleurs été déplacé en Australie, ce qui n’était pas le cas jusqu’ici ; cette nouvelle coïncide d’ailleurs avec un article relatant l’arrestation d’un australien impliqué dans l’infection de quelques 77.000 machines à l’aide de chevaux de Troie bancaires. Cet individu était également impliqué dans des attaques de déni de service distribué. Selon certains témoignages, il pourrait bien s’agir de H1t3m, administrateur du forum.

Le message en page d’accueil de r00t-y0u est d’autant plus curieux qu’il apparaît sous le logo original du forum ; il serait étonnant que la police ait pris soin de conserver ce logo en mettant ce message en ligne. L’autre point qui pose problème est que le site web personnel de H1t3m reste, lui, bien disponible.

Ce ne serait pas la première fois qu’un forum web servirait de pot de miel aux forces de police ; le FBI et l’US Secret Service sont les champions de ces infiltrations de longue durée – en témoigne par exemple la fameuse histoire du forum TheGrifters.net. Mais il est également possible que H1t3m ait simplement simulé son arrestation en profitant de l’opportunité donnée par l’actualité, afin de changer d’identité et de passer sous le radar – un sport pratiqué régulièrement par les cybercriminels qui tentent ainsi de se refaire une virginité vis-à-vis de leurs pairs. Ainsi, le développeur présumé du malware ZeuS, connu en 2007 sous les pseudonyme Up / UpLevel et identifié par la société Secure Works, était également un escroc notoire qui s’était fait repérer et bannir d’un certains nombre de forums en raison de sa fâcheuse tendance à arnaquer ses clients. Or cet individu semblerait avoir refait surface sous les pseudonymes Monstr / Masteru1 ; cette semaine, il tente même de prouver son identité sur un forum en y copiant des captures d’écran du code-source du malware :

Bien entendu, ceci ne prouve rien, puisque le code-source du malware a pu être volé ou même vendu à d’autres pirates…

D’après plusieurs sources -dont le président de Facebook, Max Kelly- l’attaque serait liée à une manoeuvre destinée à faire taire un bloggueur géorgien surnommé "Cyxymu", comme la capitale de l’Abkhazie. Celui-ci dispose de comptes sur les principaux réseaux sociaux (Livejournal, Twitter, Facebook, etc.), au sein desquels il exprime une opinion très critique contre le régime russe dans la région.

Au moment où les regards se tournent donc vers la Russie comme origine de l’attaque, nous nous posons la question du véritable intérêt d’une telle opération de la part de Moscou. En effet, la vitrine offerte à cet individu suite à cette attaque est bien plus grande que les quelques heures d’indisponibilité de ces sites personnels : les médias du monde entier évoquent désormais cette affaire.

De plus, le modus operandi apparaît étrange : une campagne de spam invitant à visiter les sites de cet individu aurait été menée. Une telle manÅ“uvre aurait peu de chances d’affecter réellement des architectures telles que Facebook sans des volumes de spams monstrueux, et sans un taux de clic non moins important.

Exemplaire de spam:

=======================
From: "Givi" <cyxymu@gmail.com>
Subject: Visit my Blog!
=======================
Hello.
Important message: Watch for ya!

http://www.facebook.com/cyxymu

Thanks for looking my Blog.

---
Regards
mailto:cyxymu@gmail.com
=======================

L’attaque par un botnet semble bien plus crédible, mais l’origine de l’attaque sera difficile à confirmer dans un monde où la désinformation devient de plus en plus une arme géopolitique à part entière.

Ce n'est pas la première fois que la plateforme est prise pour cible par les pirates, mais il semble que ce soit la première fois que le site soit indisponible pendant plusieurs heures. Twitter a confirmé l'attaque (lien).

Pour quelles raisons un pirate en voudrait-il à Twitter au point de rendre son site indisponible ? Au rang des motivations des dénis de service, on compte :

- le chantage : c'est la principale motivation pour les attaques. D'ordinaire, ce type d'attaque vise plutôt des sites de e-commerce, ou de jeu d'argent en ligne : c'est à dire, des sociétés dont l'existence même repose entièrement sur leur visibilité sur Internet. L'attaque commence par quelques minutes d'indisponibilité ; puis le site revient en ligne, et l'entreprise reçoit un e-mail du pirate, demandant le versement d'une somme d'argent en échange de l'arrêt des hostilités. Pour ces sociétés, la perte du chiffre d'affaires d'une seule journée est une catastrophe. Et même si ces sociétés n'aiment pas en faire la publicité, dans de nombreux cas, les escrocs reçoivent bien la rançon demandée (c'est d'ailleurs à la remise de la rançon que sont réalisées la plupart des arrestations). Ici, la société Twitter répond bien à ce critère de dépendance extrême vis-à-vis d'Internet ; plus de twitter.com = plus de société. Cependant, le chiffre d'affaires réalisé par la société sur Internet est théoriquement nul, et elle se remettra donc très bien de quelques heures d'indisponibilité, malgré avoir perdu quelques plumes dans les médias. Cela cadre donc mal avec une tentative de racket ;

- la censure : il est possible que des messages aient été relayés sur Twitter, et que ces messages n'aient pas plu à quelqu'un, qui aurait décidé en conséquence d'attaquer le site. Ce type d'attaques est monnaie courante, de nombreux chercheurs en sécurité en faisant régulièrement les frais : le site www.abuse.ch est régulièrement pris pour cible en raison du contenu qui y est publié ; la société SpamHaus est régulièrement attaquée également ; et la fondation CastleCops (qui n'existe plus) était en son temps parmi les priorités de nombreux pirates, qui ont poussé le vice jusqu'à provoquer un déni de service avec des donations issues de comptes bancaires volés, l'objectif étant de compromettre la fondation aux yeux de sa propre banque. Dans le cas de Twitter, il ne serait pas étonnant que parmi les millions de tweets postés chaque jour, certaines aient déplu à des pirates, le site étant devenu un relai fulgurant des rumeurs et de la contestation politique (souvenons-nous de l'appel au déni de service contre des cibles iraniennes relayé sur la plateforme) ;

- la démonstration de force : les pirates cherchent souvent à démontrer leurs capacités de nuisance sur des cibles réelles, de manière à séduire des "clients" potentiels qui pourraient faire appel à leurs services. En matière de déni de service, ce type de démonstration de force est quasi systématique : pour vérifier la puissance du botnet, le pirate choisit une cible neutre, sans rapport avec l'usage réel qu'il fera du botnet ultérieurement. Son futur client peut ainsi être rassuré sur la qualité de l'infrastructure qu'il va louer. C'est notamment ce qu'il semble s'être passé début 2007, avec l'attaque massive contre les serveurs DNS racines. Cette hypothèse est plausible, Twitter étant une cible particulièrement médiatique, la publicité du pirate est assurée ; cependant, Twitter semble avoir quelques soucis chroniques de bande passante, lors de pics d'activité le site est parfois indisponible en raison de sa propre popularité (par exemple à la mort de Michael Jackson). Twitter n'est donc pas une cible hors de portée pour un pirate doté d'un outillage "moyen".

Puis, on notera comme motivations plus improbables : l'attaque pour le plaisir, ou encore l'attaque politique par une puissance étrangère.

On ne saura sans doute jamais le fin mot de l'histoire, mais ce type d'attaques est monnaie courante, de nombreuses sociétés en faisant les frais jour après jour. Se prémunir contre ce type d'attaque est très complexe : chaque fois qu'une solution de filtrage est mise en place, les pirates modifient leur attaque : en mobilisant d'autres machines de leur botnet pour multiplier les IP sources, en modifiant les requêtes ou les paquets de données envoyés, en prenant pour cible la partie applicative du site web plutôt que les couches réseaux, etc. Ces attaques ont donc de beaux jours devant elles.