Darkode : Le forum pirate démantelé, 70 arrestations dans le monde

2
184

Darkode était l’un des espaces underground de haut vol, attirant la crème de la cybercriminalité mondiale. Le FBI y a mis fin le 15 juillet, avec l’aide d’Europol (EC3). Retour sur l’opération d’envergure.

L’opération de police est gigantesque puisqu’elle implique 18 agences et 20 pays de par le monde. Commanditée par le FBI, le forum a pu être démantelé. Comme l’on dit habituellement, à menace exceptionnelle, solution exceptionnelle ! L’enquête aurait durée plus de 18 mois et l’opération représente la plus grande coalition des autorités mondiales à l’encontre du cybercrime. La France cependant, ne semble pas avoir participé à l’opération.

Darkode était en effet un espace d’échange hors du commun, en anglais, une colossale marketplace fournissant toutes sortes d’outils de piratage, du simple virus aux malwares de haut vol. Le slogan du site était clairement affiché : “Welcome to the best malware marketplace on the net” que l’on peut traduire en français par “Bienvenue dans le meilleur espace de vente de code malveillant de l’Internet“. Particularité de Darkode, il faisait parti des quelques 800 forums underground qui s’affichaient sur Internet et non sur le Deep Web, comme l’explique le DoJ américain. Le forum abritait quelques 300 membres “actifs et dangereux”.

darkcode_operation

Les rubriques étaient très nombreuses, et comprenaient des listes de nouvelles vulnérabilités (nombreuses failles zero-day à vendre), des codes sources de charges malveillantes, des malwares prêt à l’usage (RAT, trojans, shell, rootkit, etc), des ransomwares (dont Locker), des données piratées (leaks, FTP, bases de données, etc), des données personnelles volées (plus de 20 millions de personnes), des botnets mondiaux et tous les services possibles et imaginables.

D’après Europol EC3, les arrestations ont eu lieu aux États-Unis (12 personnes, dont Morgan Culbertson déjà épinglé par FireEye et Rody Guidry aka Opelousas, un gros botmaster), au Royaume-Uni, en Australie, en Bosnie-Herzégovine, au Brésil, au Canada, en Colombie, au Costa Rica, en Croatie, à Chypre, au Danemark, en Finlande, en Allemagne, en Israël, en Lettonie, en Macédoine, au Nigeria, en Roumanie, en Serbie et en Suède.

Selon le spécialiste de la sécurité informatique Brian Krebs, Darkode a été créé il y a près de huit ans par un slovène nommé Matjaz Skorjanc, 36 ans, connu sous le pseudo “Iserdo“. Ce dernier est aussi l’auteur du malware Butterfly Bot, dont un exemplaire peut être vendu jusqu’à $2000 (via MoneyGram, WebMoney et Western). BFBOT a fait quelques 13 millions de victimes dans le monde et a servit de base pour Mariposa. Il avait été arrêté par les autorité slovènes en 2010. Le site a alors était revendu à Mafi.

Parmi les pirates arrêtés, Johan Anders Gudmunds, un hacker suédois de 27 ans, accusé de fraude informatique, de blanchiment d’argent et par dessus le marché, de forts soupçons pèse sur lui, l’accusant d’être l’un des administrateurs de Darkode. Il était connu sous le pseudo “Mafi” ou “Crim“. Gudmunds est également accusé d’avoir son propre botnet, qu’il a utilisé pour voler des données sur 50 000 ordinateurs au cours de 200 000 000 attaques. Mafi est aussi l’auteur du redoutable CrimePack Exploit Kit, un pack d’outils pirates tout en un. Par ailleurs, il était très près de Paunch, le pirate russe, créateur de Blackhole, l’un des kit d’exploitation pirate le plus répandu au monde.

Paunch quand à lui, travaillait en collaboration avec un autre membre de Darkcode, dont le pseudo est “J.P. Morgan“. Ce dernier a investi près de 800 000 dollars de budget pour acheter des failles 0-Day critiques visant des programmes populaires comme Flash Player, Microsoft Office, Apache 2 ou Java. Le but était bien entendu de les intégrer à leur kit d’exploitation Blackhole…

darkode

Darkode.cc, l’adresse URL du forum renvoie désormais les visiteurs vers un avis du FBI et du département de la justice, indiquant que le domaine a été saisi. Accessible uniquement sur invitation, Darkode comptait 250 à 300 membres soigneusement choisis et triés sur le volet. Chaque candidature faisait l’objet d’une enquête approfondie des administrateurs pour éviter tout problème. Darkode allait très loin dans le concept, puisqu’il proposait aussi des solutions et des avis sur des banques offshores et même un espace de « trading » pour blanchir de l’argent détourné.

« Le candidat devait poster une présentation en ligne – un CV – mettant en avant ses activités criminelles passées, ses compétences en cybersécurité, et ce qu’il pouvait potentiellement apporter au forum. Les membres du forum décidaient ensuite d’approuver ou non sa candidature »

« Darkode représentait une des menaces les plus graves à l’intégrité des données informatiques aux États-Unis et dans le reste du monde » a affirmé le procureur américain David Hickton dans un communiqué du département de la justice. «  C’était le forum le plus sophistiqué en langue anglaise pour les cybercriminels du monde entier. »

Darkode a aussi servit de refuge à Aleksander Panin, l’auteur de SpyEye, un dérivé du code source de zBot/Zeus. Panin sera arrêté en 2014 alors qu’il voyageait en direction de la République dominicaine.

Pour finir, le forum a aussi abrité des membres du célèbre groupe Lizard Squad, qui s’est notamment fait connaître en attaquant à plusieurs reprises des réseaux de jeu en ligne via des violentes attaques DDoS, dont ceux de Sony et de Microsoft. Parmi eux, le “leader” dont le pseudo est “Fubar“, “Sp3c” ou encore “sp3cial1st“. Ce membre faisait consentement la promotion d’un service d’hébergement bulletproof de LizardSquad et du fameux LizardStresser, l’outil d’attaque du groupe. Lizard Squad et Darkode sont étroitement liés : Ils utilisaient le même hébergeur, basé en Bosnie et exploitaient aussi la même IP qui permettait de diriger un C&C.

Sp3cial1st a repris les rênes du forum Darkcode en 2013, lorsqu’un chercheur en sécurité, un ancien de la RED Crew, va réussir à infiltrer le forum Darkode et à poster beaucoup de captures écrans, laissant les données les plus sensibles aux forces de l’ordre. Cet événement pousse Mafi à se retirer précipitamment. C’est d’ailleurs à ce moment que les autorité américaines s’infiltrent massivement sur Darkode…

Plus croustillant encore, l’empreinte de la Corée du Nord laissée sur Darkode. En effet, une société venant de l’Est baptisée OffSHore a fait son apparition sur le forum. Le gérant de celle-ci s’avère être un ancien administrateur d’un espace underground russe prénommé Exploit. La spécialité de Offshore est de fournir des service d’hébergement bulletproof et de spamming à grande échelle.

Mais OffSHore ne s’arrête pas là, bien au contraire. Pour faire progresser son business, elle ne va pas hésiter à lancer des attaques puissantes à l’encontre des principaux organismes de lutte contre le spam, dont Spamhaus, l’un des leaders. La société est à l’origine de la gigantesque attaque DDoS basée sur la puissante technique dite de “DNS amplification”, baptisée Stophaus. La police des Pays-Bas mettra la main sur un homme de 35 ans, baptisé SK, qui sera stoppé en Espagne et avouera être l’auteur du DDoS à l’encontre de l’organisation à but non lucratif Spamhaus. Le pirate néerlandais était le responsable de l’entreprise Cyberbunker, ainsi que le fournisseur de services CB3ROB. Il voyageait dans une camionnette équipée pour pirater les réseaux WiFi qu’ils rencontraient sur sa route. Il se disait être le ministre des Télécommunications et des Affaires étrangères de la République de Cyberbunker ! Mais voila, l’entreprise OffSHore était basée au Cambodge, puis en Moldavie pour finir en Corée du Nord ! OffSHore s’abrite par ailleurs derrière le service de CDN Cloudflare.

En lisant le communiqué des autorités américaines, on apprend que Sp3cial1st a pu échapper au coup de filet. Est-ce la taupe du FBI ? Impossible de savoir ! Bref, cela fait un blackmarket en moins sur la toile (sauf s’il est ré-ouvert une énième fois). Mails il en existe encore de multiples plateformes, dont certaines encore plus sécurisées, privées et impénétrable que Darkode.

Les commentaires sont fermés.