L’histoire a été largement relayée par les médias et pendant un temps il a été suggéré que la cyber-attaque était le fruit d’opérations perpétrées par des hackers patriotiques. Cependant cette attaque, de par son ampleur, sa coordination et son très haut degré de sophistication ne peut vraisemblablement pas voir son origine uniquement dans les actes de hackers indépendants. Plusieurs experts en sécurité informatique ont accusé Moscou d’être derrière ces agissements. Au vue de l’intensité de ces attaques, seul un état aurait été capable de mener à bien ce type d’opération.

Le début du 21eme siècle voit les cyber-attaques se développer à vive allure. Les hautes technologies et les compétences en ligne sont désormais à vendre et ce n’est pas les clients qui manquent : du particulier aux sociétés commerciales, en passant par les organisations terroristes, une cyber-attaque peut déstabiliser un concurrent ou un adversaire et même mettre en péril toute l’organisation économique d’un pays.

Au cours du printemps 2007, le système informatique gouvernemental Estonien a été la victime d’une violente attaque déclenchée par des cyber-terroristes suite à la décision d’officiels Estoniens de déplacer dans un cimetière militaire de Tallinn, la statue d’un soldat de l’armée rouge mort en combattant les Nazis. Cette décision fut l’objet de nombreuses protestations au sein de la minorité Russe d’Estonie. Suite à cela, une vaste attaque à base de déni de service a été déclenchée contre les réseaux gouvernementaux Estoniens. Les attaquants ont bombardé d’innombrables requêtes l’infrastructure Estonienne, bloquant d’innocents utilisateurs et mettant en évidence toute la vulnérabilité du système d’information du pays. Les experts ont estimé que l’assaut avait eu de graves conséquences auprès des banques et des aéroports.

En aout 2008, la Géorgie a été également la victime d’une cyber-attaque massive. Le déni de service a débuté alors même que la Russie envahissait la Géorgie et a continué après que le Kremlin eut annoncé qu’il mettait un terme aux hostilités.

Le 20 juillet, la fondation Shadowserver publia un article sur l’attaque dont fut victime le site web du Président de la Géorgie. « Depuis plus de 24 heures, le site web du président Géorgien Mikhail Saakashvili est indisponible suite à un important déni de service. Le site a été attaqué samedi matin (heure Géorgienne). Nous avons pu observer au moins un serveur Command and Control (C&C) frappant le site au moyen d’attaques simultanées. Le serveur C&C a ordonné à ses bots d’attaquer le site web en l’inondant de requêtes TCP, ICMP et http. »

Le 21 juillet, le site Computerworld écrit, « Au cours du week-end, le site web du président de la Géorgie a été mis hors service par un déni de service, il s’agit d’une attaque de plus dans la longue série des cyber-attaques contre les pays ayant des frictions politiques avec la Russie. »

Le 12 aout, le quotidien New-York Times cite: «Quelques semaines avant que les bombes ne tombent sur la Géorgie, un chercheur en sécurité originaire du Massachusetts a pu observer une attaque du pays dans son cyberespace. »

L’invasion de la Géorgie par la Russie a été précédée d’une cyber-attaque sur les infrastructures Internet de la Géorgie. A partir du 7 aout, soit un jour avant que ne commence l’invasion Russe, un nombre important de serveurs Internet Georgien ont été saisis et placés sous contrôle étranger. Au même instant, la plupart du trafic Internet Géorgien et de ses accès ont également été détournés.

Le piratage du site web du président Mikheil Saakashvili (les photos de ce dernier ont été remplacées par des effigies d’Adolf Hitler) a été la phase initiale du lancement de l’attaque. S’ensuivirent alors de larges dénis de service contre le site, empêchant ainsi le gouvernement Géorgien de communiquer vers sa population et les média internationaux durant cette phase critique.

Après analyse, il s’avère que ces dénis de services n’ont pas été seulement orchestrés de façon traditionnelle via un serveur C&C commandant son botnet, mais bien par de simples injections SQL envoyées sur les serveurs vulnérables. L’avantage est certain : il n’est pas nécessaire de disposer d’un grand nombre de machines zombie, une seule machine suffit pour mettre à genou un serveur.

L’assaut contre le cyberespace Géorgien pourrait avoir été en partie coordonné par la tristement célèbre organisation criminelle Russian Business Network (RBN) qui aurait orchestré un cyber blocus afin de rerouter tout le trafic Internet Géorgien vers la Russie ; cette action a eu comme conséquence de priver la Géorgie de son indépendance Internet.
Des ordinateurs Georgien ont pu constater qu’une attaque était effectivement en cours et que tout le trafic était rerouté.

Deux traceroutes en direction du site des affaires étrangères Géorgien ont montré que :
1 – la route USA – Géorgie était bloquée depuis TTnet Turquie
2 – la route Ukraine – Géorgie était accessible mais très lente; de plus la page du site gouvernemental était fabriquée de toute pièce et redirigée via l’opérateur Bryansk.ru

D’autres analyses des sites web gouvernementaux, tel que celui du ministre de la défense ainsi que celui du Président ont montré
o Que la route USA – Géorgie était bloquée depuis TTnet Turquie
o Que la route Ukraine – Géorgie était également bloquée toujours depuis TTnet Turquie.

En examinant les routes Internet avant et après le début la guerre, il est clair que celles-ci ont été modifiées soit légalement soit illégalement, de sorte que le trafic Internet Géorgien soit bloqué, en entrée et en sortie. Certains de ces accès pourraient être directement sous le contrôle de la Russian Business Network (RBN) : AS8342 RTCOMM (Ru), AS12389 ROSTELECOM (Ru), et surtout AS9121 TTNet (Tk). (Les AS sont des ensembles de réseaux IP sous le contrôle d’une seule et même entité). L’appartenance d’un réseau à la RBN est toutefois toujours très difficile à démontrer dans le sens où cette dernière n’a pas d’existence propre. Pour tracer le champ d’activité de la RBN, on s’efforce de faire des recoupements entre les spams, les sites web et les whois.

Tous ces actes ont demandé une action coordonnée, avec on peut l’imaginer, un état-major, et des généraux qui planifient et envoient leurs soldats. Toutes les attaques ont été menées depuis deux forums de hackers Russes : stopgeorgia.ru (et sa redirection stopgeorgia.info) ainsi que xakep.ru (hacker.ru)

Le forum Stopgeorgia.ru fournissait aux hackers des outils d’attaques contre la Géorgie, mais pas seulement; en fait, c’est tout un processus quasi militaire qui y était organisé : recrutement des nouveaux, endoctrinement, choix des cibles potentielles, livraison des « armes » (scripts et malwares), planification et finalement déclenchement des attaques. Ce forum pourrait avoir été sous la coupe de la RBN au travers d’un de leur gestionnaire de nom de domaine, Estdomain connu pour la conception de faux antivirus et spywares. Stopgeorgia.ru est désormais désactivé et le domaine a été racheté par un indien anonyme.

Dans les jours qui ont suivi le début des hostilités, la guerre de l’information pris un autre tournant sous la forme d’une importante campagne de spam: un message en provenance de la BBC qui affirmait que le président de la Géorgie était homosexuel avec bien entendu, une preuve à l’appui : une vidéo à télécharger. Lorsque la victime cliquait sur le lien, elle téléchargeait un virus « name.avi.exe” depuis l’adresse 79.135.167.49

Parmi tous ces épisodes, le nom de la RBN revient à plusieurs reprises. Cette organisation cybercriminelle est dirigée par Alexandr A. Boykov ainsi qu’un spammeur notoire de Saint Petersbourg appelé Andrey Smirnov.

L’attaque DDOS de juillet émanait de deux serveurs C&C : bizus-kokovs.cc (207.10.234.244) et ns1.guagaga.net (79.135.167.22), une adresse appartenant au réseau turc sistemnet.com.tr, classé au top 10 des pires spammeurs au monde. Vous noterez également que le spam contenant la fausse vidéo provenait de l’adresse 79.135.167.49. Le nom de Mr Boykov est connecté à celui de Sistemnet de par des opérations conjointes de spam de pharmacie. Il possède le réseau IP 81.222.137.0/24 que l’on retrouve régulièrement associé au réseau turc dans les blacklists.

Par déduction, on peut donc conclure que la RBN a été un moment ou un autre impliquée dans le conflit. Mais en restant tout à fait objectif, on pourrait nuancer les propos en disant qu’ au moins les infrastructures de la RBN ont été utilisées au cours des hostilités.

La dernière attaque majeure s’est déroulée le 27 aout. Dans l’après-midi du 27 aout, vers 16h15, une attaque massive a été déclenchée contre le site du ministre des affaires étrangères. L’attaque a connu un pic à 0.5 million de paquets par second, et l’on a pu mesurer entre 200 et 250 Mb de bande passante consommée.

L’attaque consistait principalement en des requêtes http envoyées sur le site http://mfa.gov.ge. Ces requêtes étaient accompagnées de paramètres générés aléatoirement destinés à saturer le serveur. La première vague a beaucoup perturbé les services web qui ont d’abord été ralentis puis ont cessé de fonctionner. Ceci est dû à la surcharge occasionnée par l’amplitude de ces requêtes.

Après cela, aucune autre attaque majeures n’a pu être constatée ; il n’est toutefois pas exclu que des attaques mineures sont toujours en cours mais elles sont difficilement perceptibles et pourraient être contrôlées par des civils.

En conclusion la cyber-attaque n’a eu finalement qu’un impact limité sur la Géorgie, dans le sens où son organisation est assez peu dépendante des technologies de l’information. Des pays comme la Scandinavie et surtout les Etats-Unis auraient beaucoup plus à craindre de ce genre d’attaque. Il a été un moment affirmé que le gouvernement Russe était impliqué dans cet épisode de la guerre, car celle-ci avait été si bien orchestrée que son organisation supposait la participation du gouvernement. Ceci a été démenti par un rapport d’experts indépendants appelé Grey Goose que réfutent toujours les autorités Géorgiennes. Maintenant, encore une fois l’ombre de la sinistre RBN flotte sur un champ de bataille heureusement dépourvu de cadavres.

Même si le chiffre me semble ridiculement bas, il existe une bonne dizaine de Botnets clairement identifiés par des « chasseurs » : le Kraken, composé de plus de 400000 machines capable de générer 9 milliards de spams par jour, le Srizbi autrefois responsable de 60% du spam sur Internet, etc.

Parmi tout cela, l’un de ces Botnet a retenu toute mon attention pour le très haut niveau de technicité employé dans son utilisation: il s’agit du Botnet Storm.

Le Storm, encore appelé Storm Worm, de part son étroite relation avec un cheval de Troie du même nom, a été identifié pour la première fois en Janvier 2007. Les médias prétendent que ce Botnet serait composé de 1 à 50 millions de machines, mais les experts estiment que « seulement » 160000 machines forment ce Botnet.

Bien entendu, il est très difficile de déterminer l’origine du Storm: certains pensent qu’il serait contrôlé directement depuis le sol Américain alors que d’autres estiment, qu’à l’instar de plusieurs de ces « confrères », il serait Russe et même l’œuvre du sinistre Russian Business Network, une occulte organisation cyber-criminelle.

Comme tous les autres Botnet, le but principal du Storm est de générer du spam de nature différente: fichiers PDF ou Excel contenant des images, enregistrement vocal de MP3, texte brut, et email d’hameçonnage (Phishing). Au mois de mars 2008, 20% des spams sur Internet proviendrait du Storm.
Il est également à noter qu’une partie des machines est exclusivement dédiée à l’extension du Botnet, en envoyant par mail des chevaux de Troie chargés d’infecter les machines sur Internet.

Outre le spam, le Botnet est également capable de lancer des attaques DDOS contre d’autres groupes et organisations mais aussi en direction de ceux qui le traquent.

Si le Storm est particulier, c’est que son anatomie est différente des autres Botnet. Au fil du temps, ces auteurs semblent s’être durement focalisés sur la survie de leur création, passant d’une organisation relativement simple et classique à quelque chose de beaucoup plus sophistiquée.

Dans un Botnet rudimentaire, vous trouvez toujours un serveur principal appelé Command and Control (C&C) qui se charge de contacter et de contrôler ces milliers de machines contaminées sur tout le réseau. Pour casser ce type de Botnet, il suffit donc de trouver le C&C et de le désactiver: les machines Zombies sont alors privées de toute commande à distance et rendues partiellement inoffensives.

Le Storm a une approche foncièrement différente et s’organise en différentes couches. Tout en haut de la pyramide, vous avez un C&C tournant sous Apache, et vraisemblablement placé en Russie, selon les dires des experts. Au niveau inférieur, vous trouvez un proxy Nginx chargé de dissimuler la présence du C&C.
Au troisième niveau, vous trouvez une collection de Nginx qui masque le proxy principal du niveau supérieur. Au quatrième niveau se trouvent les nœuds publiques qui agissent comme des reverse proxies et qui renvoient les communications vers le C&C, agissant comme des serveurs DNS fast flux. La technique du fast flux consiste à associer un même nom de domaine à plusieurs IP différentes, et ce rapidement. Finalement, le dernier niveau se compose de milliers de machines serviles, réparties sur tout l’ensemble du réseau.

Le processus d’infection se fait généralement par mail mais peut aussi être déclenché via le réseau P2P. Lorsque la victime a cliqué sur le lien situé dans son mail, le programme va télécharger un fichier exécutable directement depuis un nœud du quatrième niveau. Une fois infectée, la machine compromise et le nœud s’échangent l’adresse IP du nouveau Zombie. L’information est alors envoyée au troisième niveau, puis au second pour finalement parvenir au C&C.

Au deuxième et troisième niveau, les proxies Nginx écoutent le trafic P2P des réseaux Overnet et eDonkey. Overnet est un réseau à base de table de hachage distribuée (DHT) basé sur l’algorithme Kademlia. Il s’agit du même protocole utilisé par les anciennes versions de eDonkey. Depuis octobre 2007, le Storm a changé son protocole: non seulement il utilise Overnet pour communiquer, mais les dernières versions du programme utilisent désormais leur propre réseau P2P. Ce réseau est quasiment identique à Overnet si ce n’est que l’information qui y circule y est encryptée.

Pour identifier les nœuds ainsi que le contenu sur le réseau Overnet, l’algorithme DHT utilise une clé linéaire (Généralement 128 bits) . Tous les algorithmes DHT ont leur propre façon de calculer la distance logique entre deux nœuds ou entre un nœud et du contenu distribué.

Kademlia calcule la distance entre les nœuds en effectuant un ou exclusif entre leur hachage publié.
Lorsqu’une machine souhaite trouver du contenu sur le réseau, elle calcule (ou reçoit) le hachage du contenu et recherche des machines adjacentes à elle même. Ces dernières répondent également en annonçant leurs propres machines adjacentes. Le processus est répété jusqu’à ce qu’une machine soit à même de répondre à la requête de la recherche du contenu.

C’est parce que le réseau Overnet fonctionne sur un modèle de distribution qu’il n’existe aucun annuaire des machines. La liste des machines actives ainsi que le contenu publié sont distribués en petits morceaux directement dans la mémoire de toutes les machines du réseau. C’est toujours l’absence d’annuaire centralisé ainsi que la nature dynamique de ce qui est stocké dans la DHT qui rend le Storm tellement résistant à son démantèlement.

En conclusion, je dirai qu’à la vue de tout ce que j’ai pu lire sur le sujet, ce botnet est un véritable chef d’œuvre de technologie au service du mal. Sa complexité et son architecture lui ont valu le privilège d’être le sujet de plusieurs études, voir même de thèses écrites par des chercheurs de haut niveau. Maintenant, loin de moi de vouloir faire l’apologie du cybercrime, on ne peut que rester perplexe devant un tel déchainement de recherches techniques, de réflexions et d’efforts, surtout pour de si noirs desseins.

Tout d’abord, j’ai reçu en l’espace de 2 minutes près de 400 mails, et à ce jour, je continue d’en recevoir sporadiquement mais en très faible quantité. Ce n’est pas à proprement parler du spam, ni du mail-bombing, mais des bounces (des échecs de livraison). Quelqu’un a utilisé mon adresse publique (sendmail arobase pagasa point net) pour envoyer des courriers non sollicités, et je ne fais que recevoir les erreurs.

La première chose que j’ai constaté est que nous ne sommes plus dans le chemin classique d’expédition du spam. Il y a quelques années, le spammeur utilisait traditionnellement un relai ouvert, un serveur SMTP non sécurisé pour envoyer ses millions de mails. Il n’était alors pas bien difficile de fermer le relai et de passer à autre chose. Cette technique aurait tendance à diminuer mais au vue du nombre de tests que j’ai quotidiennement sur http://www.pagasa.net/test-smtp/, elle n’a pas encore complètement disparu.

Aujourd’hui, ce sont bien des centaines de machines qui sont utilisées pour spammer. Ces machines forment un botnet, un réseau de PCs compromis par des failles de sécurité et pilotés à distance via IRC ou par des requêtes HTML (POST par exemple, pour moins éveiller les soupçons).

Dans mon cas, pratiquement toutes les machines que j’ai repérées sont référencées sur les listes noires comme zombie ou proxy ouverts. Si vous avez un doute sur votre propre machine, vous pouvez tester votre adresse IP via mon script Blacklist.

Ce qui est ennuyeux avec cette histoire, c’est qu’il n’y a aucun moyen d’arrêter le spam en cours, et d’un autre côté, on peut difficilement remonter jusqu’au spammeur en lui même: il faut isoler le zombie et l’inspecter méthodiquement; et encore, on a assez peu de chance de retrouver quoique ce soit: un vrai spammeur ne laisse pas beaucoup de pièces à conviction derrière lui et il n’est pas impossible qu’il chaine ses opérations en faisant piloter un zombie par un autre :-O

Je n’ose pas imaginer le jour où des attaques de grandes envergures seront déclenchées; j’ai d’ailleurs même déjà l’impression que c’est déjà commençé. Les botnets sont sans nulle doute la plus grave menace qui pèse sur l’intégrité de l’Internet.

Au cours de mes investigations, j’ai remarqué que le zombie jouait le rôle d’un agent de transfert (MTA): il est capable d’extraire le MX (Mail Exchanger), ce qui lui permet de communiquer directement avec sa destination, sans passer par un serveur SMTP tiers, celui de son FAI, bien entendu :-)

Mais parfois le zombie détecte la présence d’un serveur SMTP déjà installé en local et l’utilise pour transporter son mail. J’ai pu ainsi repérer quelques Exchanges piratés. Les entêtes que j’ai récupérés prouvent bien une utilisation locale et non un relayage.

En ce qui concerne le spam en lui même, il est destiné à un public russe et peut se présenter sous deux formes:
- Un message écrit en russe, à connotation sexuelle, et invitant à télécharger un Flash sur Imageshack. Un passage à l’antivirus n’a rien donné pour l’instant. Je suppose qu’il s’agit d’un cheval de Troie, exploitant une faille Flash et permettant ainsi à la machine d’incorporer le botnet.
- Le spam en lui même: une invitation au séminaire « UNE VOITURE DANS VOTRE ORGANISATION: comptabilité, fiscalité de l’exploitation » donné par un certain Семенихин В.В, le 26 août 2008. (Merci Google). Aucune URL n’est présente, juste un numéro de téléphone. Curieux, tout de même de spammer pour un séminaire. (Tentative de discrédit par un concurrent ?)

La chose qui est certaine, c’est que l’Internet est devenu très dangereux.