Démantèlement de vDOS, une plateforme de type “DDoS as-a-service” basée en Israël. Bilan, deux jeunes Israéliens de 15 et 18 ans arrêtés, 150 000 cyberattaques lancées et 600 000 dollars de chiffre d’affaires en deux ans d’activité.
Alors que les attaques DDoS sont devenues une véritable plaie pour tous les administrateurs de sites Internet, un important réseau vient de tomber, un service appelé vDOS, qui commercialisait des attaques à la demande. Deux adolescents israéliens de 15 et 18 ans ont été arrêtés dans le cadre d’une enquête du FBI jeudi 8 septembre. Ils sont soupçonnés d’être les administrateurs de vDos, l’un des services majeurs de ce type.
Selon KrebsonSecurity, le blog du chercheur spécialisé Brian Krebs, le service de “DDoS as-a-service” (ou “booter service” / “IP stresser“) aurait généré plus de 600 000 dollars de chiffre d’affaires en deux ans d’activité et aurait lancé quelque 150 000 attaques DDoS visant, dans la plupart des cas, à faire tomber des sites Internet. Le service de hacking était opérationnel depuis septembre 2012. Toujours selon Brian Krebs, en quatre mois (de avril à juillet 2016), vDOS aurait lancé des attaques ayant totalisé 277 millions de secondes, soit 8,81 ans : vDOS était en mesure de lancer plusieurs attaques simultanément.
Comme on peut le voir sur cette capture d’écran du site (désormais fermé), les prix étaient tout à fait abordables, du fait du business modèle de vDos. Il suffisait de s’inscrire en ligne sur vDos en payant en Bitcoin (mais aussi via CB ou PayPal) un abonnement mensuel allant de 20 à 200 dollars en échange de prestations d’attaques par déni de service ciblées (entre 10 et 50 Gps de trafic UDP envoyé). Le tarif variait ensuite selon le temps d’attaque souhaité, généralement exprimé en secondes. Cinq types d’attaques étaient proposées : DNS, SSDP, SSYN, NTP, Dominate.
Comme le souligne Numerama, vDos avait bien pris soin de se cacher derrière des apparences légitimes, en proposant une adresse e-mail de report pour se plaindre des abus commis à travers le service, et demandait dans son contrat de vente l’acceptation de « Conditions d’Utilisation Acceptables »…
Le service vDos avait été piraté en juillet dernier, malgré son camouflage derrière CloudFlare (un CDN protégeant des attaques DDoS justement), provoquant la fuite de données personnelles reliant Itay Huri et Yarden Bidani, les deux administrateurs présumés du service illicite d’attaque en ligne (aussi connus sous les pseudonymes P1st, P1st0, M30w ou AppleJ4ck). La base de données de vDos avait également révélé l’identité des dizaines de milliers de clients ayant payé pour utiliser le service ainsi que leurs cibles. Krebs est formel : vDOS était hébergé sur au moins quatre serveurs loués chez un hébergeur bulgare appelé Verdina.net et la société BackConnect Security serait à l’origine du hack de la plateforme, dans le but de faire stopper les attaques DDoS dont elle était elle-même victime.
Depuis vendredi, vDos est entièrement hors ligne et ses services ont été désactivés.
Le service prenait néanmoins la précaution de ne jamais lancer d’attaque DDoS sur le sol israélien :
« Je viens d’Israël et j’ai décidé de blacklister toutes les IP israéliennes. C’est mon pays d’origine et je ne veux pas quelque chose leur arrive
», déclarait l’un des administrateurs.
Les deux adolescents ont depuis été libérés sous caution et placés sous surveillance permanente pendant 10 jours. Ils ont l’interdiction d’utiliser Internet pendant un mois, et ne peuvent pas quitter le territoire. La peine encourue n’est pas précisée…
Les commentaires sont fermés.