21 avril 2020

Enquête sur un hébergeur en dessous de tout soupçon

Par Sébastien

Préambule

Dans l’article OpenFacto du 20 avril 2020 sur la Corée du Nord, nous explicitions la notion d’Autonomous System (AS), qui va être de nouveau utilisée au sein du présent article. De même, l’article OpenFacto du 3 Avril 2020 sur Syrian Telecom présente l’outil urlscan.io, auquel nous allons encore avoir recours.

Nous invitons vivement le lecteur à se référer à ces anciens articles pour une meilleure compréhension de cette enquête.

Identification d’une cible

(Trigger Warning : la première URL du présent paragraphe comporte des screenshots pouvant heurter la sensibilité des personnes les plus fragiles)

Considérons l’AS202425. Grâce à l’outil urlscan.io, nous disposons de multiples captures d’écran des sites qui y sont hébergés :

https://urlscan.io/asn/AS202425

… ainsi que d’un nombre conséquent d’URLs :

https://urlscan.io/search/#page.asn:%22AS202425%22

Cette première source d’informations nous permet de conclure d’ores et déjà une chose : la légalité du ou des hébergeurs derrière cet AS est fortement discutable. Le terme couramment usité est « Bulletproof Hosting provider » ou BGP, un hébergeur qui permet à ses clients une clémence considérable dans les types de documents qu’ils peuvent télécharger et distribuer.

Via quelques pivots temporels permis par archive.org ainsi que via les sites Hurricane Electric BGP et ipfinfo.io (qui indexent les propriétés des AS, tant au niveau des plages d’adresses IP que des hébergeurs associés), nous nous proposons d’identifier qui se cache derrière cet AS potentiellement très suspect.

L’ïle mystérieuse

Via ipinfo.io, voici ce que nous découvrons de prime abord pour IP Volume Inc :

Extrait du RIPE

Les informations obtenues sont les mêmes que lorsque nous procédons à un whois sur ipvolume.net

Victoria, sur l’île de Mahé, est la capitale de l’archipel des Seychelles :

Que retenir de tout cela ? Qu’IP Volume Inc se trouve derrière l’AS202425 et qu’elle est enregistrée dans un paradis fiscal bien connu. Et si le pays dispose bien d’une loi contre la cybercriminalité, la coopération internationale y est pour le moins… aléatoire.

Retour vers le passé

Sur Wayback Machine et une recherche du lien https://bgp.he.net/AS29073, nous découvrons ceci et un autre nom « principal » d’hébergeur : Quasi Networks LTD :

Pour un AS différent, nous retrouvons plusieurs plages d’IP de l’AS202425 précédent :

Retour vers le passé du passé

Toujours sur Wayback Machine et une recherche du lien http://ipinfo.io/AS29073, un nouveau nom d’hébergeur apparaît :

Nous retrouvons de nouveau les plages d’adresse IP affichées dans les captures d’écran précédentes :

Un peu d’aide de google

Il y a bien longtemps, dans une lointaine galaxie, IQarus et COLINKS-AS incarnaient le côté obscur de la force :

Par contre, sur malwareurl.com, le côté obscur de la force n’avait pas besoin de pseudonymes :

Un Mail eXchanger pour les gouverner tous

En passant dans Maltego sous de multiples formes et orthographes tous les noms de domaines collectés lors des pivots temporels, on découvre ceci :

Selon les résultats renvoyés par Maltego, le serveur mail.ecatel.net gère les mails destinés entre autres à ecatel.net, quasinetworks.com et ipvolume.net.

Un directeur pour les manager tous

Une recherche supplémentaire dans les bases OCCRP Aleph rajoute encore plus de liant : non plus cette fois sur le plan technique, mais sur le plan légal :

Pour garder un œil critique

Toujours sur Aleph OCCRP, une entrée mentionne que Reinier Van Eeden est né en 1986.

Sur webhostingtalk.nl, on trouve des interventions d’un certain « Reinier V Eeden » dès 2004 (pages traduites automatiquement via Google Translate):

Cela signifie t il que cette personne a commencé à travailler dans le webhosting dès ses 18 ans ? En outre, dans un article de security.nl, tout semble indique qu’Ecatel prenne les activités malveillantes très au sérieux :

Source : https://translate.google.com/translate?hl=fr&sl=nl&u=https://www.security.nl/posting/30936/%2522Nederlandse%2Bprovider%2Bbroeinest%2Bvan%2Bcybercrime%2522&prev=search

Conclusion

Rien ne prouve absolument qu’Iqarus/Colinks/Ecatel/Quasi Netwoks/IP Volume INC hébergent sciemment des activités malveillantes. Cependant, le faisceau d’informations trouvées tout au long de cette enquête pourrait nous laisser penser que cela soit quand même le cas.

Dans tous les cas, on peut retenir une chose : dans le passé, les opportunités de préserver son anonymat étaient probablement moindres. En se focalisant sur quelques pivots temporels via archive.org ou une fonctionnalité de Google, on a au final pu constater qu’en remontant dans le temps, il est potentiellement très aisé et rapide de procéder à des identifications de personnes impossibles en se focalisant sur des informations du présent.

Les pivots temporels sont d’efficaces clés qui permettent d’ouvrir des boîtes de Pandore OSINT.

Pour aller plus loin

Tracing the Crimeware Origins by Reversing Injected Code, une étude forensique qui établit des liens entre Ecatel et le Russian Business Network :

https://resources.infosecinstitute.com/zeroaccess-malware-part-4-tracing-the-crimeware-origins-by-reversing-injected-code/

Une étude de SiteVet.com, qui a réalisé des calculs de « taux de malveillance » sur l’AS29073 :

https://web.archive.org/web/20110822201827/http://www.sitevet.com/pdf/asn/AS29073

« Quasi Networks and the Exploitation of Women », une passionnante enquête en deux parties, où l’on retrouve Reinier Van Eeden

https://medium.com/@dephekt/anon-ib-quasi-networks-and-the-online-exploitation-of-women-dc2649daba0f

https://medium.com/@dephekt/part-2-anon-ib-quasi-networks-and-the-exploitation-of-women-6a86723f44fd

« A conversation with RIPE NCC regarding Quasi Networks LTD (AS29073) »

Un post de ripe.net consacré au trafic d’adresses IP, et où Ecatel et Quasi Networks sont de nouveau cités :

https://www.ripe.net/participate/mail/forum/anti-abuse-wg/PDIwNTc3LjE1Njc3NTg3NDlAc2VnZmF1bHQudHJpc3RhdGVsb2dpYy5jb20+

Pour les lecteurs les plus technophiles, la sauvegarde d’un pastebin très détaillé :

http://archive.is/nTLVe

Rejoignez notre mission.

Adhérez à OpenFacto, et faites de l’OSINT un standard en France.