Maxim Goncharov bulletproof hebergeurs
Moins d’IoT, plus de rançons, de crimes, de spam, de pluies de malwares et de bot-herders avec la conférence de Maxim Goncharov (Trend Micro) « Criminal Hideouts for Lease: Bulletproof Hosting Services ». Cette présentation avait déjà été donnée à l’occasion de Pac_Sec, au Japon. Qui, au sein de la communauté des Cert et autres Response Team, s’intéresse de près aux hébergeurs à haute disponibilité, qui louent leurs services aux cyber-mafieux ? Ils sont très peu, en fait. L’un des premiers, des plus tenaces, fut longtemps Dancho Danchev, lequel inlassablement listait les liens qui unissaient les différents prestataires Russes et Ukrainiens et les groupes mafieux du Russian Business Network et leurs héritiers. Depuis que Danchev a cessé ses publications, Goncharov a repris le flambeau. Il publiait d’ailleurs en juillet dernier une étude complète sur ces hébergeurs véreux. Des opérateurs pour truands qui imposent à leurs clients des règles morales très élastiques. « Pas de pédopornographie… sans en discuter avec l’opérateur. Pas d’attaque visant le marché Russe ou Ukrainien ». Mais depuis les récents affrontements entre Moscou et Kiev, les coups de canifs au contrat sont nombreux. « Il suffit parfois de lire les accroches publicitaires de ces entreprises pour deviner le profil des clients ». Certains mettent en avant leurs capacités de hosting et leurs datacenter situés à l’étranger, fort utiles pour brouiller les pistes et les origines d’une attaque, d’autres tentent de charmer les spécialistes du racket au dénis de service en proposant des grappes de machines virtuelles en location à court terme, d’autres encore vantent leurs capacités en bande passante et l’efficacité de leur force de frappe lors de campagnes de malwaretizing ou de spam. « Leurs catalogues ressemblent à ceux des prestataires occidentaux, à la différence près qu’ils ne proposent ni suite bureautique, ni agenda partagé, ni support aux forces de ventes, mais des C&C as a service, des adresses IP mobiles, des serveurs Torrent, des pseudo sites SEO… et en prime, de véritables sites légitimes piratés par leurs soins qu’ils peuvent « sous-louer » dans le cadre d’attaques en DdoS ou phishing, des pans entiers de sites d’hébergement secondaires (Amazon, OVH) ainsi transformés en hébergeurs mafieux malgré eux »
