Le forum Darkode fermé, 12 personnes arrêtées, ZATAZ vous fait la visite
Le forum Darkode, un vaste espace numérique dédié au piratage informatique. 18 agences de polices, 20 pays, sous la houlette du FBI, viennent de stopper les agissements de ce site Internet et de plusieurs de ses membres. ZATAZ vous fait la visite.
Le FBI américain vient de mettre fin aux agissements d’un site Internet qui attirait la toile malveillante comme un aimant. Son slogan était plus qu’explicite « Bienvenue dans le meilleur espace de vente de code malveillant de l’Internet » [The best malware marketplace on the net – 98289] Il faut dire aussi que le site Darkode proposait les outils (codes, logiciels, petites mains, …) pour réaliser n’importe quel type de piratage numérique et informatique. Darkode faisait partie des quelques 800 forums dédiés aux piratages que l’on peut trouver sur Internet (on ne peut pas chiffrer ceux présents dans le Deep Web, étant aussi invisibles que leurs situations géographiques 2.0, NDR).
Le forum Darkode
L’opération du FBI et d’Europol est toujours en cours au moment de l’écriture de cet article. Des agents du FBI se relayaient nuits et jours, en association avec des enquêteurs d’Australie, Bosnie, Colombie, Brésil, Canada, Colombie, Costa Rica, Chypre, Croatie, Danemark, Finlande, Lettonie, Allemagne, Israël, Roumanie, Macédoine, Nigeria, Serbie, Suède et Royaume-Uni, pour tracer les instigateurs et utilisateurs de Darkode.
Étonnamment, la France ne semble pas concernée par cette opération. 70 internautes, les plus actifs du forum, étaient dans la ligne de mire des « amis du petit déjeuner ». 12 ont été inculpés aux États-Unis. Aucun chiffre, pour le moment, hors sol américain. Il faut dire aussi que le FBI et le DoJ sont en pleine « communication » globale pour attendrir le législateurs américains. Ce dernier est invité à renforcer les possibilités « investigatrices » du FBI.
Opération forum Darkode
L’opération a été menée par le FBI et soutenu par le Centre européen de la cybercriminalité Europol (EC3), avec la participation des agents d’application de la loi de 20 pays. Darkode a été visé par la justice américaine considérant ce forum comme « la menace la plus grave contre les données informatiques aux États-Unis et à l’international, et le plus sophistiqué en langue anglaise« . Sur le sol de l’Oncle Sam, les 12 présumés pirates sont poursuivis pour vol d’identité et autres données, création et vente de virus informatique, complot de fraude informatique, de blanchiment d’argent, envoi de courriels indésirables, entre autres. Ils sont Suédois, Américains, Pakistanais, Slovaques, Espagnol, Russes ou encore Algérien.
Le FBI a été attiré par les quelques 300 utilisateurs actifs sur Darkode. Un groupe fermé. Il était possible d’y trouver codes malveillants, RAT, failles, 0day, mais aussi des données « leaked », piratées puis diffusées. A noter d’ailleurs un étonnant écho après les révélations des données volées à la société Hacking Team car de nombreux, très nombreux 0day y étaient vendues ou diffusés (Apache 2.2.15, Office Excel Row, WebMoney, Adobe, …) sans parler des centaines d’outils de piratage, aussi divers que variés (Shell, clickjacking, Rootkit, …) ou encore Zeus. Les modes d’emploi et autres outils pour le scamming pullulaient. Le grand jeu, aussi, sur Darkode, diffuser les informations sur les concurrents avec identités, adresses, …
Le FBI a-t-il voulu mettre aussi un terme aux actions de Lizard Squad, en s’attaquant au forum Darkode ? Le groupe Lizard Squad s’amuse, depuis quelques mois, à lancer des DDoS contre des entreprises comme Microsoft, Sony, … Le rapport avec Lizard Squad et Darkode ? Ils utilisaient le même hébergeur, basé en Bosnie. LS et Darkode exploitaient aussi la même IP qui permettait de diriger un Commande and Control (C&C est un outil de gestion de Bots, d’ordinateurs zombies). Les « piratins » avaient-ils acquis l’outil sur Darkode ?
L’adhésion au forum Darkode était sur invitation seulement, et après avoir été « vérifié » par un membre de confiance du forum, le nouvel adhérent pouvait rejoindre les forums et espérer grimper en « Level ». Un niveau qui permettait de s’assurer de « l’honnêteté » du pseudo caché derrière les messages, logiciels, propositions de ventes … Il y a de forte chance que le FBI a voulu, aussi, mettre la main sur l’auteur et les utilisateurs de Locker, le ransomware qui se faisait passer pour un message du bureau fédéral d’investigation, ainsi que sur l’argent collecté par les pirates. Darkode proposait aussi des solutions et des avis sur des banques offshores, ainsi qu’un espace de « trading » pour blanchir de l’argent détourné.
Déjà, en 2010, 2012, 2013 !
Il y a quasiment 5 ans, jour pour jour, le créateur du Butterfly bot et co-fondateur du site de black market darkode.com était arrêté. Il était connu sur la toile pour être le créateur de BFBOT, le bot Butterfly. Ce bot, qui était revendu sur certains espaces très privés, dont son site, aurait servi à la création du botnet Mariposa. Originaire de Slovénie, Iserdo, avait été arrêté par le FBI dans un appartement de luxe.
ButterFly Network Solution (bfsystems.net) était commercialisé entre 350 et 1.100 euros. Les actions du bot étaient ensuite louées, de 100 et 200 euros, par d’autres pirates. Butterfly aurait permis la fabrication d’un autre outil malveillant du nom de Mariposa. Une arrestation, elle aussi déjà internationale. La Garde Civile Espagnole mettait la main dans la foulée sur plusieurs pirates hispaniques. Ce bot aurait fait plusieurs millions de victimes, transformant les ordinateurs d’internautes en zombies dociles.
Le FBI parlait alors de 13 millions de machines touchées dont 750 grandes entreprises américaines et une quarantaine de banques. BFF était arrivé à sa version 1.11 en mai 2010 en proposant plusieurs modules, selon le prix acquitté par les acheteurs. Le pirate du forum Darkode se faisait payer par MoneyGram, WebMoney et Western. Deux autres personnes avaient été arrêtées avec Iserdo, d’anciens élèves de la faculté des sciences informatiques de Maribor.
En 2012 et 2013, le site avait subi plusieurs attaques informatiques. D’abord plusieurs XSS, dont un Cross-Site Scripting, puis par une injection SQL et ensuite, via le chercheur Français Xylitol qui avait mis la main sur un accès à ce forum privé via l’interception d’une clé SSL. Un pirate du nom d’Udakov sera arrêté dans la foulée. Il était l’auteur de l’Exploits Kit Phoenix.
Bref, un blackmarket comme il en existe beaucoup sur la toile, dont certains beaucoup plus sécurisés encore que Darkode.
Pingback: 13 ans de prison pour un pirate informatique | Data Security Breach