Comment une escroquerie Minecraft de chambre de dortoir a fait tomber l’Internet

Ce qu’Anna-senpai n’a pas réalisé quand il a déversé le code source, c’est que le FBI avait déjà travaillé à travers assez de cerceaux numériques pour désigner Jha comme un suspect probable, et l’avait fait d’un perchoir improbable : Anchorage, Alaska.

Que l’une des grandes histoires d’Internet de 2016 se retrouve dans un tribunal d’Anchorage vendredi dernier – guidée par le procureur américain adjoint Adam Alexander vers un plaidoyer de culpabilité à peine un an après l’infraction initiale, un rythme remarquablement rapide pour les cybercrimes – était un moment signal en soi, marquant une maturation importante dans l’approche nationale du FBI en matière de cybercriminalité.

Jusqu’à récemment, presque toutes les poursuites majeures du FBI en matière de cybercriminalité provenaient d’une poignée de bureaux comme Washington, New York, Pittsburgh et Atlanta. Aujourd’hui, cependant, un nombre croissant de bureaux acquièrent la sophistication et la compréhension nécessaires pour reconstituer des affaires Internet chronophages et techniquement complexes.

Peterson est un vétéran de la cyberéquipe la plus célèbre du FBI, une escouade pionnière à Pittsburgh qui a monté des affaires révolutionnaires, comme celle contre cinq hackers chinois de l’APL. Au sein de cette escouade, Peterson – un étudiant en informatique énergique et fonceur, major de l’université et adjudant du corps des Marines, qui a été déployé deux fois en Irak avant de rejoindre le bureau, et qui fait maintenant partie de l’équipe SWAT du FBI en Alaska – a aidé à diriger l’enquête sur le botnet GameOver Zeus qui visait le hacker russe Evgeny Bogachev, qui reste en liberté avec une récompense de 3 millions de dollars pour sa capture.

Souvent, les agents du FBI finissent par être éloignés de leur spécialité principale à mesure que leur carrière avance ; dans les années qui ont suivi le 11 septembre, l’un des quelques dizaines d’agents arabophones du bureau s’est retrouvé à la tête d’une escouade enquêtant sur les suprémacistes blancs. Mais Peterson est resté concentré sur les cyberaffaires même lorsqu’il a été muté il y a près de deux ans dans son État natal, l’Alaska, où il a rejoint la plus petite cyberéquipe du FBI – quatre agents seulement, supervisés par Walton, un agent de contre-espionnage russe de longue date, et en partenariat avec Klein, un ancien administrateur de systèmes UNIX.

Cette minuscule équipe, cependant, en est venue à jouer un rôle hors norme dans les batailles de cybersécurité du pays, en se spécialisant dans les attaques DDoS et les botnets. Plus tôt cette année, l’escouade d’Anchorage a joué un rôle déterminant dans le démantèlement du botnet Kelihos, qui existe depuis longtemps et qui est dirigé par Peter Yuryevich Levashov, alias « Peter du Nord », un pirate informatique arrêté en Espagne en avril.

En partie, dit Marlin Ritzman, l’agent spécial en charge du bureau local du FBI à Anchorage, c’est parce que la géographie de l’Alaska rend les attaques par déni de service particulièrement personnelles.

« L’Alaska est dans une position unique avec nos services Internet – beaucoup de communautés rurales dépendent d’Internet pour atteindre le monde extérieur », dit Ritzman. « Une attaque par déni de service pourrait couper les communications de communautés entières ici, ce n’est pas seulement une entreprise ou une autre. Il est important pour nous d’attaquer cette menace. »

Monter le dossier Mirai a été lent pour les quatre agents de l’escouade d’Anchorage, même s’ils ont travaillé en étroite collaboration avec des dizaines d’entreprises et de chercheurs du secteur privé pour dresser le portrait global d’une menace sans précédent.

Avant de pouvoir résoudre une affaire internationale, l’escouade du FBI a d’abord – étant donné le mode de fonctionnement décentralisé des tribunaux fédéraux et du ministère de la Justice – dû prouver que Mirai existait dans leur juridiction particulière, l’Alaska.

Pour établir les bases d’une affaire criminelle, l’escouade a minutieusement localisé les appareils IoT infectés avec des adresses IP à travers l’Alaska, puis a émis des assignations à comparaître à la principale société de télécommunications de l’État, GCI, pour joindre un nom et un emplacement physique. Les agents ont ensuite sillonné l’État pour interroger les propriétaires des appareils et établir qu’ils n’avaient pas donné la permission que leurs achats IoT soient détournés par le malware Mirai.

Si certains appareils infectés se trouvaient à proximité, à Anchorage, d’autres étaient plus éloignés ; étant donné l’éloignement de l’Alaska, la collecte de certains appareils a nécessité des voyages en avion vers des communautés rurales. Dans un service public rural qui fournissait également des services Internet, les agents ont trouvé un ingénieur réseau enthousiaste qui a aidé à retrouver les appareils compromis.

Après avoir saisi les appareils infectés et les avoir transportés au bureau de terrain du FBI – un bâtiment bas situé à quelques rues de l’eau dans la ville la plus peuplée d’Alaska – les agents, de manière contre-intuitive, ont ensuite dû les rebrancher. Le malware Mirai n’existant que dans la mémoire flash, il était supprimé chaque fois que l’appareil était éteint ou redémarré. Les agents devaient attendre que l’appareil soit réinfecté par Mirai ; heureusement, le botnet était si contagieux et se propageait si rapidement qu’il n’a pas fallu longtemps pour que les appareils soient réinfectés.

À partir de là, l’équipe s’est efforcée de remonter les connexions du botnet jusqu’au serveur de contrôle principal de Mirai. Puis, armés d’ordonnances judiciaires, ils ont pu retrouver les adresses électroniques associées et les numéros de téléphone cellulaire utilisés pour ces comptes, établissant et reliant les noms aux boîtes.

« C’était beaucoup de six degrés de Kevin Bacon », explique Walton. À un moment donné, l’affaire s’est enlisée parce que les auteurs de Mirai avaient établi en France une « popped box », un dispositif compromis qu’ils utilisaient comme nœud VPN de sortie d’Internet, masquant ainsi l’emplacement réel et les ordinateurs physiques utilisés par les créateurs de Mirai.

Il s’est avéré qu’ils avaient détourné un ordinateur qui appartenait à un enfant français intéressé par les anime japonais. Étant donné que Mirai avait, selon une fuite de chat, été nommé d’après une série animée de 2011, Mirai Nikki, et que le pseudonyme de l’auteur était Anna-Senpai, le garçon français était un suspect immédiat.

« Le profil correspondait à quelqu’un que nous nous attendions à voir impliqué dans le développement de Mirai », dit Walton ; tout au long de l’affaire, étant donné la connexion OVH, le FBI a travaillé en étroite collaboration avec les autorités françaises, qui étaient présentes lors de certains mandats de perquisition.

« Les acteurs étaient très sophistiqués dans leur sécurité en ligne », dit Peterson. « J’ai couru contre des gars vraiment difficiles, et ces gars étaient aussi bons ou meilleurs que certaines des équipes d’Europe de l’Est que j’ai affrontées. »

Ajoutant à la complexité, le DDoS lui-même est un crime notoirement difficile à prouver – même le simple fait de prouver que le crime a eu lieu peut être extraordinairement difficile après coup. « Les DDoS peuvent se produire dans le vide, à moins qu’une entreprise ne capture les journaux de la bonne manière », explique Peterson. Klein, un ancien administrateur UNIX qui a grandi en jouant avec Linux, a passé des semaines à rassembler des preuves et à réassembler des données pour montrer comment les attaques DDoS se sont déroulées.

Sur les appareils compromis, ils ont dû reconstruire avec soin les données du trafic réseau, et étudier comment le code Mirai lançait des « paquets » contre ses cibles – un processus médico-légal peu compris, connu sous le nom d’analyse des données PCAP (capture de paquets). Il s’agit d’un processus de police scientifique peu connu, connu sous le nom d’analyse des données de capture de paquets (PCAP). « C’est le logiciel de déni de service distribué le plus complexe que j’aie jamais rencontré », dit Klein.

Le FBI a identifié les suspects à la fin de l’année : Des photos des trois ont été accrochées pendant des mois au mur du bureau local d’Anchorage, où les agents les ont surnommés la « meute de louveteaux », un clin d’œil à leur jeunesse. (Une autre femme plus âgée soupçonnée dans une affaire sans rapport, dont la photo était également accrochée au tableau, a été surnommée la « Den Mother ».)

Le journaliste spécialisé en sécurité Brian Krebs, une des premières victimes de Mirai, a publiquement pointé du doigt Jha et White en janvier 2017. La famille de Jha a d’abord nié son implication, mais vendredi, lui, White et Norman ont tous plaidé coupable de conspiration pour violer le Computer Fraud and Abuse Act, la principale accusation pénale du gouvernement en matière de cybercriminalité. Les plaidoyers ont été descellés mercredi et annoncés par l’unité des crimes informatiques du ministère de la Justice à Washington, DC.

Jha était également accusé – et a plaidé coupable – d’un ensemble bizarre d’attaques DDoS qui avaient perturbé les réseaux informatiques du campus de Rutgers pendant deux ans. Dès la première année où Jha était étudiant, Rutgers a commencé à subir ce qui allait finalement être une douzaine d’attaques DDoS qui ont perturbé les réseaux, toutes synchronisées avec les examens de mi-session. À l’époque, un individu anonyme en ligne a poussé l’université à acheter de meilleurs services d’atténuation des DDoS – ce qui, comme il s’avère, était exactement l’entreprise que Jha lui-même essayait de construire.

Dans une salle d’audience de Trenton mercredi, Jha – portant un costume conservateur et les lunettes à monture sombre familières de son ancien portrait LinkedIn – a déclaré à la cour qu’il visait les attaques contre à son propre campus quand elles seraient les plus perturbatrices – spécifiquement pendant les examens de mi-session, les examens finaux et lorsque les étudiants essayaient de s’inscrire en classe.

« En fait, vous avez chronométré vos attaques parce que vous vouliez surcharger le serveur central d’authentification au moment où cela serait le plus dévastateur pour Rutgers, n’est-ce pas ? » a interrogé le procureur fédéral.

« Oui », a répondu Jha.

En effet, que les trois savants en informatique aient fini par construire une meilleure souricière DDoS n’est pas nécessairement surprenant ; c’était un domaine d’intérêt intellectuel intense pour eux. Selon leurs profils en ligne, Jha et White avaient en fait travaillé ensemble à la création d’une entreprise d’atténuation des attaques DDoS ; le mois précédant l’apparition de Mirai, la signature électronique de Jha le décrivait comme  » Président, ProTraf Solutions, LLC, Enterprise DDoS Mitigation « .

Dans le cadre de la construction de Mirai, chaque membre du groupe avait son propre rôle, selon les documents judiciaires. Jha a écrit une grande partie du code original et a servi de principal point de contact en ligne sur les forums de piratage, en utilisant le moniker Anna-senpai.

White, qui a utilisé les monikers en ligne Lightspeed et thegenius, a géré une grande partie de l’infrastructure du botnet, en concevant le puissant scanner Internet qui a aidé à identifier les appareils potentiels à infecter. La vitesse et l’efficacité du scanner ont été un moteur clé de la capacité de Mirai à surpasser d’autres botnets comme vDOS l’automne dernier ; au plus fort de Mirai, une expérience menée par The Atlantic a révélé qu’un faux dispositif IoT créé en ligne par la publication était compromis en une heure.

Selon les documents judiciaires, Dalton Norman – dont le rôle dans le botnet Mirai était inconnu jusqu’à ce que les accords de plaidoyer soient dévoilés – a travaillé à l’identification des exploits dits zero-day qui ont rendu Mirai si puissant. Selon les documents judiciaires, il a identifié et mis en œuvre quatre de ces vulnérabilités inconnues des fabricants d’appareils dans le cadre du code d’exploitation de Mirai, puis, à mesure que Mirai se développait, il a travaillé à adapter le code pour faire fonctionner un réseau beaucoup plus puissant qu’ils ne l’avaient jamais imaginé.

Jha est venu très tôt à son intérêt pour la technologie ; selon sa page LinkedIn, maintenant supprimée, il se décrivait comme  » très motivé  » et expliquait qu’il avait commencé à s’enseigner la programmation en septième année. Son intérêt pour les sciences et la technologie était très vaste : L’année suivante, il a remporté le deuxième prix de la foire scientifique de huitième année de la Park Middle School de Fanwood, dans le New Jersey, pour son projet d’ingénierie étudiant l’impact des tremblements de terre sur les ponts. En 2016, il se disait compétent en « C#, Java, Golang, C, C++, PHP, x86 ASM, sans oublier les langages de navigation Web tels que Javascript et HTML/CSS. » (Un des premiers indices pour Krebs que Jha était probablement impliqué dans Mirai était que la personne se faisant appeler Anna-Senpai avait énuméré ses compétences en disant : « Je suis très familière avec la programmation dans une variété de langages, y compris ASM, C, Go, Java, C# et PHP. »)

Ce n’est pas la première fois que des adolescents et des collégiens exposent des faiblesses clés d’Internet : Le premier ver informatique majeur a été déclenché en novembre 1988 par Robert Morris, alors étudiant à Cornell, et la première intrusion majeure dans les réseaux informatiques du Pentagone – une affaire connue sous le nom de Solar Sunrise – est survenue une décennie plus tard, en 1998 ; elle était l’œuvre de deux adolescents californiens de concert avec un contemporain israélien. Le DDoS lui-même est apparu en 2000, déclenché par un adolescent québécois, Michael Calce, qui s’est présenté en ligne sous le nom de Mafiaboy. Le 7 février 2000, Calce a utilisé un réseau d’ordinateurs zombies qu’il avait assemblé à partir de réseaux universitaires contre Yahoo, alors le plus grand moteur de recherche du web. En milieu de matinée, il avait pratiquement paralysé le géant de la technologie, ralentissant le site au point de le faire ramper, et dans les jours qui ont suivi, Calce a ciblé d’autres sites Web de premier plan comme Amazon, CNN, eBay et ZDNet.

Lors d’une conférence téléphonique annonçant les plaidoyers de culpabilité mercredi, le procureur général adjoint intérimaire du ministère de la Justice, Richard Downing, a déclaré que l’affaire Mirai soulignait les périls des jeunes utilisateurs d’ordinateurs qui s’égarent en ligne – et a déclaré que le ministère de la Justice prévoyait d’étendre ses efforts de sensibilisation des jeunes.

« On m’a certainement fait sentir très vieux et incapable de suivre le rythme », a plaisanté mercredi le procureur Adam Alexander.

Ce qui a vraiment surpris les enquêteurs, cependant, c’est qu’une fois qu’ils avaient Jha, White et Norman dans leur ligne de mire, ils ont découvert que les créateurs de Mirai avaient déjà trouvé une nouvelle utilisation pour leur puissant botnet : Ils avaient abandonné les attaques DDoS pour quelque chose de moins médiatisé – mais aussi de lucratif.

Ils utilisaient leur botnet pour mettre en place un système élaboré de fraude au clic – en incitant environ 100 000 appareils IoT compromis, principalement des routeurs et des modems domestiques, à visiter en masse des liens publicitaires, en faisant croire qu’il s’agissait d’utilisateurs réguliers d’ordinateurs. Ils gagnaient des milliers de dollars par mois en escroquant des annonceurs américains et européens, en toute discrétion, sans que personne ne s’en aperçoive. Il s’agissait, d’après ce que les enquêteurs pouvaient dire, d’un modèle commercial révolutionnaire pour un botnet IoT.

Comme le dit Peterson, « Voici un tout nouveau crime auquel l’industrie était aveugle. Nous l’avons tous manqué. »

Même si l’affaire en Alaska et dans le New Jersey se termine – les trois accusés seront condamnés plus tard – le fléau Mirai que Jha, White et Dalton ont déclenché continue en ligne. « Cette saga particulière est terminée, mais Mirai est toujours en vie », déclare M. Paine de Cloudflare. « Il y a un risque important qui perdure, car le code source ouvert a été réutilisé par de nouveaux acteurs. Toutes ces nouvelles versions mises à jour sont toujours là. »

Il y a deux semaines, début décembre, un nouveau botnet IoT est apparu en ligne en utilisant certains aspects du code de Mirai.

Connu sous le nom de Satori, le botnet a infecté un quart de million d’appareils dans ses 12 premières heures.

Garrett M. Graff (@vermontgmg) est un rédacteur collaborateur pour WIRED. Il peut être joint à [email protected].

Cet article a été mis à jour pour refléter que Mirai a frappé une société d’hébergement appelée Nuclear Fallout Enterprises, et non un jeu appelé Nuclear Fallout.

Massive Hacks

• Comment une vulnérabilité dans les cartes-clés d’hôtel à travers le monde a donné à un cambrioleur l’opportunité d’une vie.

• L’étrange confluence de révélations qui a conduit à la découverte des vulnérabilités Meltdown et Spectre.

• Et pour tous ceux qui cherchent à rafraîchir leur lexique de hacker, un bref résumé de « sinkholing ».