Dans les secrets de Darkode

Le forum pirate Darkode fermé par le FBI. Retour sur un espace pas si étonnant que ça, regroupant des pirates informatiques aux égos surdimensionnés.

Nous vous proposons dans zataz.tv de visiter le site de blackmarket Darkode, un espace communautaire pas comme les autres. Une cyber boutique fermée par le FBI, au début du mois de juillet. Comme montré dans l’article « Darkode fermé, 12 personnes arrêtées » il était possible d’y trouver des données bancaires, des codes malveillants, des bases de données volées, d’outils pour lancer des DDoS. Mais revenons à l’histoire de Darkode. Une histoire banale, comme c’est le cas dans 99% des espaces pirates qu’il est possible de rencontrer sur la toile. La justice américaine parle de 800 forums de ce type. Le DoJ ne précise cependant pas si ces espaces sont sur Internet, dans le Deep Web, uniquement en Anglais, …

Dans les outils proposés par les pirates, des ransomwares, comme Locker, qui se faisait passer pour le FBI.

Dans les outils proposés par les pirates, des ransomwares, comme Locker, qui se faisait passer pour le FBI.

Darkode a débuté sa vie numérique en 2009, sous forme d’un forum. Sa mission, servir de service après-vente pour le logiciel espion Mariposa/ (papillon en espagnol). Un botnet, connu aussi sous le nom de ZeuS, Palevo (fourchette) qui fera pas mal de dégâts. La police espagnole mettra la main sur les auteurs quelques mois plus tard. Les principales fonctions de papillon étaient de proposer de quoi lancer des DDoS, des spams, … A noter que son module dédié aux Dénis Distribués de Service sera diffusé sur Internet à la suite d’une fuite interne. Son auteur, connu sous le pseudonyme d’Iserdo (Matjaz Skorjanc), un Slovène d’une vingtaine d’année, administre Darkode de 2009 à 2010. Il va revendre Darkode à un internaute connu sous le pseudonyme de Mafi (connu aussi sous le pseudonyme de Crim, arrêté par le FBI). Un « pirate » qui venait d’un autre espace numérique, lui aussi dédié à la fraude en ligne. L’idée de Mafi, recruter de nombreux cyber escrocs ineptes, mais tout aussi ambitieux. Une revente efficace, Mariposa voit sa base de clients exploser. Apparaissent aussi des nouvelles versions du kit d’exploits Crimepack. Des outils revendus de l’ancien forum de Mafi.

Darkode attire les gros poissons de la malveillance 2.0

Darkode gagne des galons au point d’attirer des groupes plus imposants, comme celui d’Aleksander Panin, l’auteur de SpyEye, un autre outil tiré du code source de zBot (Zeus, ndr). Panin sera arrêté en 2014 alors qu’il voyageait en direction de la République dominicaine. Une invitation pour rejoindre un ami, Bx1, un algérien qui reprendra durant quelques semaines le business de SpyEye. Il sera rapidement stoppé, lui aussi, par le FBI. Il faut dire aussi que ce dernier était aussi le roi de la vantardise sur la toile.

En 2013, un chercheur en sécurité, ancien de la RED Crew, va réussir à infiltrer le forum Darkode et poster beaucoup de captures écrans, laissant les données les plus sensibles aux forces de l’ordre. Apparait alors Fubar, aka Sp3cial1st (ou encore Sp3c, Na). Il reprend la place de Mafi à la tête de Darkode à l’annonce de la « retraite » de ce dernier. Intéressant, c’est à ce moment-là ou les agents fédéraux américains se sont invités en grand nombre dans le forum. Les arrestations s’enfilant comme des perles. Bilan, Sp3cial1st est devenu très paranoïaque. Les comptes des membres, dont celui que j’avais pu avoir, sont fermés. Les vieux messages, codes sont bannis. Les nouveaux arrivants sont moins techniques, plus « Script kiddies« .

Les adeptes du logiciel Havij sont nombreux, les bases de données volées et à revendre aussi. C’est ici, comme le révélait ZATAZ, qu’est apparu le groupe Lizard Squad. Le « clou dans le cercueil » comme l’expriment certains experts du blackmarket. Pour rappel, Lizard Squad c’était fait connaitre en attaquant, à coups de DDoS, le Xbox Live ou encore le Live de la Playstation. Darkode ayant diffusé un archaïque, mais malheureusement efficace, bot irc permettant de lancer des DDoS via des routeurs domestiques détournés. Le code source se trouve d’ailleurs toujours sur Github au moment de l’écriture de cet article zataz.

Une faille qui a pu permettre de visiter des serveurs de chaines de télévision ?

Une faille qui a pu permettre de visiter des serveurs de chaines de télévision ?

50 69 74 72 65 72 69 65 20 32 2e 30

Parallèlement à toutes ces pitreries est apparue une société basée dans un pays de l’EST, la société Offshore. Derrière cette « start-up », un ancien administrateur d’un espace underground russe prénommé Exploit. Offshore, un commerçant de service Internet comme de l’hébergement et des options dédiées aux spammeurs. L’idée, empêcher les systèmes anti courriels non sollicités de faire leur travail, comme Spamhaus. Cette association dédiée à la lutte contre les spams subira d’ailleurs une attaque d’envergure à coups de DDoS. Il faut dire aussi que le pirate derrière ce blocage, proche de Darkode, avait lancé un opération contre SpamHaus, baptisée Stophaus. La police des Pays-Bas mettra aux arrêts un homme de 35 ans, baptisé SK. Il sera stoppé en Espagne. Il avouera être l’auteur du DDoS à l’encontre de l’organisation à but non lucratif Spamhaus. Le pirate néerlandais était le responsable de l’entreprise Cyberbunker, ainsi que le fournisseur de services CB3ROB. Il voyageait dans une camionnette équipée pour pirater les bases wifi rencontraient sur sa route. Il se disait être le ministre des Télécommunications et des Affaires étrangères de la République de Cyberbunker (sic!). L’entreprise « OffSHore » était basée au Cambodge, puis en Moldavie pour se promener ensuite… en Corée du Nord !

Des traces de la Corée du Nord dans Darkode

20 * 202.72.96.6 (202.72.96.6) 694.793 ms -> Phenom Penh, Cambodia

21 * * 175.45.177.217 (175.45.177.217) 803.654 ms -> Pyongyang, North Korea

Elle se cache derrière Cloudflare. Offshore va permettre des attaques DDoS particulièrement puissantes, via du DNS amplification. En gros, le serveur attaqué se renvoie la balle et amplifie donc l’attaque qu’il subit.

Depuis, Darkode a fermé, 70 personnes ont été arrêtées dans le monde, dont 12 aux USA. Seul ombre au tableau, Sp3cial1st, totalement disparu de la circulation. Peut-être la taupe du FBI… peut-être pas ! En attendant parmi les 70 arrestations, des gestionnaires de bots, comme Rody Guidry, aka Opelousas. L’homme arrêté aux USA, s’est vu refuser sa remise en liberté sous caution. La justice réclame une évaluation liée à sa santé mentale. Lors de son audience, sa famille a mis en avant qu’il avait peur de tout, même de conduire. Guidry, 28 ans, a été retrouvé en possession de 2.000 ordinateurs contrôlés par un botnet. Le FBI estime qu’il en aurait 50 fois plus.

Il a été découvert dans son ordinateur, des milliers de données bancaires, des photos du pirate posant avec des liasses de dollars et la preuve d’un paiement de 200,000 $, en bitcoins, envoyés par un autre pirate. Le FBI s’inquiète aussi des licences de pilotes d’avion retrouvées sur son ordinateur.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. DuckDAWorld Reply

    Quack !

  2. Pingback: ZATAZ Magazine » Rétro : Un été caniculaire chez les pirates

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.