Les créateurs du tristement célèbre botnet Mirai, utilisé pour lancer des attaques DDoS (Distributed Denial of Service) inédites l’an dernier, ayant mis hors service des parties importantes d’internet, ont plaidé coupables des chefs d’accusations fédéraux de cybercriminalité, vendredi 8 décembre dernier.
Les accords de plaidoirie avec Paras Jha et Josiah White ont été révélés mardi par un tribunal d’Alaska, qui avait inculpé les deux protagonistes le 5 décembre. Jha, 21 ans, de Fanwood dans le New Jersey, et White, 20 ans, de Washington en Pennsylvanie, étaient cofondateurs de Protraf Solutions LLC, dont le principal argumentaire de vente était, accrochez-vous bien ! … la lutte contre les attaques DDoS à grande échelle !
Jha, un étudiant en informatique à l’Université Rutgers, a également plaidé coupable dans le New Jersey d’une série d’attaques DDoS contre l’université entre novembre 2014 et septembre 2016, qui ont effectivement mis hors service son système d’identification central, et parfois durant plusieurs jours d’affilée.
Le mérité, dans l’identification des deux créateurs du botnet Mira, revient en grande partie au blogueur cybersécurité Brian Krebs, dont le site a été pris pour cible par une attaque DDoS massive en septembre 2016, mais qui avait retrouvé Jha et White en janvier dernier, 10 mois avant d’être eux-mêmes rattrapés par la justice, en les citant dans un long article au sujet de son enquête sur cette attaque.
Comme Krebs l’a publié dans un post mardi, Jha et White, qui vendaient des services d’atténuation DDoS étaient :
… en réalité de véritables pompiers pyromanes. Jha et White ciblaient des entreprises avec des attaques DDoS, puis leur extorquaient de l’argent afin d’éradiquer les attaques, ou essayaient de vendre leurs services auprès de ces entreprises, en clamant qu’ils étaient les seuls à pouvoir venir à bout de ce fléau !
Une attaque DDoS, comme l’a décrit Paul Ducklin l’année dernière, se produit lorsque “des milliers d’ordinateurs, ou peut-être même des millions, se réunissent pour cibler un service en ligne qu’ils n’apprécient pas, et commencent à tous l’utiliser en même temps”.
Ces milliers ou ces millions d’ordinateurs sont essentiellement des “zombies”, sous le contrôle de cybercriminels, et qui bloquent le trafic internet légitime.
En termes juridiques, Jha a plaidé coupable d’un seul chef d’accusation, qui stipulait qu’avec l’accord d’au moins une autre personne il avait causé :
… des dommages intentionnels au niveau d’un ordinateur protégé, à savoir la transmission consciente d’un programme, d’un code ou d’une commande vers un ordinateur, et ce dans le but d’altérer sans autorisation l’intégrité ou la disponibilité de données, d’un programme, d’un système ou d’une information. L’ordinateur a, finalement, été utilisé dans un état, ou bien s’est propagé à d’autres, et a affecté également le commerce vers l’extérieur ou encore les communications.
En termes moins juridiques, il a admis avoir rédigé et mis en œuvre le code du malware Mirai, qui a conduit à l’utilisation de plus de 300 000 appareils, et au lancement de plusieurs attaques DDoS, dont certaines en Alaska.
Jha et White ont également admis avoir loué le botnet Mirai à des tiers, et avoir mis en place un chantage à la protection, afin d’extorquer de l’argent à des sociétés d’hébergement, en échange de ne pas être pris pour cible.
White a plaidé coupable d’un chef d’accusation similaire, mais son rôle dans cette histoire, tel qu’énoncé dans son accord de plaidoirie, était de créer la partie “scanner” du code Mirai, qui pouvait scuter internet, à l’affût de dispositifs vulnérables à pirater.
Dans le cadre de son accord, White a accepté de donner 33 Bitcoin, “qui sont le produit de l’activité criminelle”. Avec la valeur actuelle d’un Bitcoin se situant aux alentours de 16 700$ (14 150€), cette sentence équivaut à une confiscation d’un montant de 551 100$ (466 900€).
Jha a accepté de renoncer à 13 Bitcoin, soit une somme de 217 100$ (183 933€) à l’heure actuelle. Jha, avec un collaborateur dénommé Dalton Norman, 21 ans, de Metairie en Louisiane, a également plaidé coupable de fraude au clic, un stratagème dans lequel un bot est utilisé pour faire croire qu’un utilisateur réel a effectivement “cliqué” sur une publicité. Puisque les annonceurs paient le nombre de fois que leur page a été vue, cette technique génère des profits frauduleux pour l’hébergeur du site web.
Les deux ont admis avoir gagné environ 200 Bitcoin grâce à la fraude au clic, qui représenterait aujourd’hui la somme de 3,34 millions de dollars.
Krebs a écrit que les cibles les plus populaires de Jha et White étaient les serveurs de jeux en ligne, en particulier ceux connectés au jeu populaire Minecraft.
Mais Krebs et les serveurs de Minecraft n’étaient pas les seules victimes célèbres. Quelques jours après l’attaque de son site, les créateurs du botnet Mirai, qui s’appelaient “Anna Senpai”, ont rendu public le code source en le publiant ligne. Selon l’accord de plaidoirie de Jha, l’objectif avait été, “de créer un déni plausible si les forces de l’ordre avaient fini par trouver le code sur des ordinateurs contrôlés par Jha ou ses acolytes”.
Cette divulgation publique, sans surprise, a conduit à la création de plusieurs botnets Mirai, dont le plus dommageable a été celui dirigé contre la société d’infrastructure internet basée au New Hampshire Dyn, qui à la fin octobre 2016 a mis hors service des acteurs majeurs du secteur tels que Twitter, GitHub, PlayStation, Netflix, Reddit et une foule d’autres sites, et ce pour une grande partie de cette fameuse journée.
De nouvelles souches Mirai sont constamment signalées, bien qu’il n’y ait pas eu d’attaques récentes importantes.
Pour avoir créé tout ce chaos, causé ces dégâts et induit des dépenses, en effet le botnet Mirai a piégé plus de 100 000 adresses IP et les coûts des attaques DDoS par le biais de ses différentes souches sont estimés à plus de 100 millions de dollars, Jha et White font face à des peines maximales de cinq ans de prison, à des amendes de 250 000$ (212 000€) ou “deux fois le gain financier ou la perte générée par l’infraction commise”, et à une liberté conditionnelle de trois ans.
Mais l’accord stipule également que les inculpés ne peuvent pas se soustraire à l’accord, même si “la Cour rejette les recommandations de condamnation des parties à l’audience de détermination de la peine”. Il stipule également que “le montant de la restitution financière sera déterminé lors de la condamnation définitive.
Billet inspiré de Mirai botnet authors plead guilty, sur Sophos nakedsecurity.