Depuis 2016, de nombreuses études suggèrent l’implication des services de renseignement russes dans des opérations en ligne de manipulation de l’information. De l’Internet Research Agency (IRA) aux campagnes Secondary Infektion et Ghostwriter, les méthodes supposément employées par le gouvernement russe pour influencer et décrédibiliser en-dehors de ses frontières ont été largement documentées. Toutefois, peu semblent encore avoir eu l’occasion d’alerter sur les efforts du renseignement extérieur russe pour contrôler l’audience intérieure de la Russie. Après avoir découvert plus d’un millier de sites Internet russophones liés au GRU, le renseignement militaire russe, OpenFacto les a cartographié pour reconstituer leur stratégie et objectifs réels, dans un paysage déjà saturé par les médias fidèles au Kremlin.
L’étude de ces sites révèle qu’InfoRos, une agence de presse servant de société-écran au GRU, est employée depuis au moins 2012 pour tenter de maîtriser les sources d’information locales dans l’ensemble de la Russie. En enregistrant au moins 1.341 « portails d’information » numériques rattachés à des villes, agglomérations, districts ou même villages, InfoRos a créé un réseau centralisé de porte-voix diffusant subrepticement la rhétorique du gouvernement russe. Si ce réseau de coquilles vides se contente majoritairement de copier-coller des contenus anodins, il distille en effet à échéance régulière des articles pro-gouvernementaux ou anti-occidentaux provenant d’une même source, InfoRos. Les sites étudiés ne seraient donc que des caisses de résonance relayant une ligne éditoriale définie par le GRU, dont le mandat se limite théoriquement à l’extérieur de la Fédération de Russie.
Le rapport ci-dessous présente la méthode de découverte de ces sites et les hypothèses qui peuvent être tirées de l’analyse des noms de domaines enregistrés, des localités russes qu’ils ciblent, et de la chronologie de leur création. L’objectif principal est de pouvoir en inférer les objectifs poursuivis par le GRU InfoRos – en particulier dans l’espace numérique. Cette étude sera également l’occasion de présenter certains outils et services permettant d’explorer le « Ru.net », ce segment russe et russophone d’Internet encore peu connu. Pour ce faire, nous reviendrons tout d’abord sur l’identité d’InfoRos, ainsi que sur sa place singulière dans l’écosystème russe de « contrôle informationnel » en ligne.
OpenFacto a décidé de faire partager les livres qu’il y a sur son étagère. Ça parle de recherches en sources ouvertes mais aussi d’opérations d’influence, de guerres cyber ou de méthodo. Chaque mois ou presque, on présente ici ceux qui nous ont plu ou marqué et pourquoi on les trouve utiles ou importants.
Cette saison s’ouvre avec le seul livre français de notre bibliothèque –Guérilla 2.0, Guerres irrégulières dans le cyberespace. Très dense, il a de quoi devenir un livre de référence sur une vision française de la place du cyber dans l’évolution de la guerre vers une guerre hybride en dix chapitres. D’autant plus intéressant, ce traité qui esquisse une stratégie de contre-guérilla 2.0 est écrit par un théoricien et praticien du domaine, Bertrand Boyer qui a aimablement répondu aux questions d’OpenFacto, à commencer par raconter son parcours.
“En premier lieu je voudrais remercier Openfacto de consacrer un billet à mon dernier ouvrage « guérilla 2.0 », c’est pour moi un plaisir de pouvoir échanger avec votre communauté sur ces questions. Pour me présenter rapidement, je suis officier de l’armée de terre. Après une première partie de carrière en unité opérationnelle qui m’a conduit à servir dans les départements d’outremer en Afrique et au Moyen-Orient, j’ai souhaité valoriser ma formation d’ingénieur. Après le cursus de l’école de guerre, une formation à télécom Paris tech m’a conduit à mieux comprendre les réseaux et la convergence naturelle entre le monde des télécommunications et celui de l’informatique. Nous étions alors, en France, au début de la structuration de la cyberdéfense et il m’a semblé utile et important de réfléchir aux conséquences pour les armées de l’émergence de ce nouvel espace de confrontation. Ces réflexions ont conduit à la publication d’un premier ouvrage « Cyberstratégie, l’art de la guerre numérique » en 2012, puis de son prolongement « Cybertactique, conduire la guerre numérique » en 2014, d’un « dictionnaire de la cybersécurité et des réseaux » en 2016 et enfin « guérilla 2.0 : guerres irrégulières dans le cyberespace» “.
Bertrand Boyer ancre son propos dans la nouvelle réalité opérationnelle de la guerre: à côté de la guerre mécanisée traditionnelle, il y a l’existence grandissante d’une interdépendance entre les milieux physiques et immatériels couplée aux évolutions techniques. La guerre hybride est donc la combinaison d’actions militaires et non militaires dans la conduite des opérations et où les actions numériques ont un rôle important pour atteindre l’objectif désiré. Nouveau, le cyber est souvent associé à l’hybridité des nouveaux conflits avec deux éléments clefs. D’abord l’information qui est au cœur de la maîtrise du cyberespace et l’apparition de plateformes offrant la possibilité d’une communication de masse non régulée – les réseaux sociaux. Puis la marge de manœuvre qu’offrent les actions numériques quand toutes les conditions du combat ne sont pas réunies et qu’il faut agir en zone grise. Mais loin d’être totalement novatrice, la guérilla 2.0 s’inscrit dans un héritage historique des insurrections. Ce retour sur l’histoire de l’insurrection est utile pour dessiner les trois types de guérillas que l’on rencontre aujourd’hui dans le cyberespace: la guérilla insurrectionnelle pour établir un nouvel ordre, la guérilla en réaction à une agression et la petite guerre en soutien des armées régulières. Pour Bertrand Boyer, il paraît “important de préciser ce que j’entends par Guérilla 2.0. Depuis le début des années 90, on évoque l’émergence du domaine « cyber » dans l’étude des conflits. Les auteurs anglo-saxons ont rapidement placé le terme CyberWar sur le devant de la scène sans que l’on ne sache toujours ce que cette notion recouvrait exactement. « Guérilla 2.0, guerres irrégulières dans le cyberespace», part d’un questionnement simple lié à l’observation des conflits récents : Si les technologies de l’information et de la communication ont bouleversé nos vies, comment sont-elles utilisées par nos adversaires ? Est-ce que ces outils changent la donne ?
L’interconnexion et la facilité d’accès à certains outils (géolocalisation, données ouvertes, outils de traitement, outils offensifs) modifient la façon dont les conflits se développent. Le « cyber » est devenu en une dizaine d’années, une arme d’emploi, non pas magique mais dont l’efficacité, combinée à d’autres vecteurs plus classiques n’est plus à démontrer.
Dès lors il m’a semblé qu’une forme d’affrontement particulier était à l’œuvre sur les réseaux ou via ces derniers et que cela pouvait constituer une version « mise à jour » de la guérilla classique, combat du faible au fort. Dans l’approche que je propose, la guérilla 2.0 c’est d’une part la transposition des modes d’actions classiques de l’insurrection dans les espaces numériques (à quoi ressemble une embuscade dans le cyberespace ? Comment effectuer un « contrôle de zone » ? quelles sont les nouvelles modalités de la propagande et de la subversion ?) mais également, l’étude de l’appropriation de ces outils par les groupes terroristes, insurgés ou certains États dans le cadre d’une stratégie indirecte”.
Le guérilleros 2.0 n’est pas si différent de son ancêtre: diversité des profils, cause transcendante, ralliement des populations pour créer les conditions nécessaires au passage de la lutte armée, recours à la violence, l’utilisation de la ruse / surprise/ opportunisme/ provocation, le refus de l’engagement direct et la capacité à naviguer en terrains numériques fragmentés.
Evocation des modes d’actions directs et indirects, mais aussi des différents profils des guerilleros 2.0, Boyer revient sur le hacktivisme, le slacktivisme avec la difficulté de traduire une mobilisation numérique en une mobilisation physique, la weaponisation de l’information et l’utilisation du numérique par les groupes terroriste. Quand on le questionne sur 2020, il revient sur ces exemples de guérilla 2.0
“L’actualité nous offre quasi quotidiennement des illustrations de la guérilla 2.0 ou de ce à quoi elle pourrait ressembler. Cette année, qui a été marquée par la crise sanitaire, a vu parallèlement une explosion de l’utilisation malveillante des réseaux. Sans revenir sur des opérations en cours, on peut évoquer l’attaque contre l’agence européenne du médicament en décembre dernier alors qu’elle était en pleine délibération sur les autorisations de mise sur le marché de plusieurs vaccins contre le Covid-19. Des documents liés au vaccin de Pfizer et BioNTech ont été piratés et diffusés quelques jours plus tard. C’est typiquement une opération de « hack and leak » avec le doute sur l’intégrité des données leakées. Ce mode opératoire est aujourd’hui assez répandu et peut être complété par une demande de rançon dans le cadre d’une attaque plus ciblée ou destructrice. Cela a été observé l’an dernier, contre des collectivités territoriales, des hôpitaux ou encore des EHPAD. Le développement des ransomware et la professionnalisation des groupes qui les mettent en place constituent probablement les faits les plus marquants de l’année écoulée.
Le deuxième événement majeur de 2020 accompagne naturellement le déroulement des élections aux États-Unis et la période de transition entre le mois de novembre dernier et le tout début de l’année 2021. L’intégrité du vote remis en question par des groupes de plus en plus structurés au sein desquels les théories complotistes se développent et se répandent présentent là encore une illustration de l’impact très réel des actions informationnelles sur les réseaux.
Enfin en matière de d’action numérique je voudrais évoquer deux exemples récents aux finalités distinctes: les affaires SolarWinds et GameStop. Dans le premier cas on est en présence d’une exploitation clandestine d’une vulnérabilité informatique à fin d’espionnage (mais potentiellement destructrice) dont le périmètre ne cesse de grandir. Un acteur très certainement étatique disposant de moyens conséquents semble à l’origine de cette opération. On est loin de la guérilla à première vue mais on est face à une mise en lumière remarquable des chaînes de vulnérabilités qui peuvent faire l’objet d’exploitation malveillante. Dans le second cas en revanche, on est totalement dans la lutte du faible au fort puisqu’une « coalition » de petits porteurs a poussé un géant de la finance Melvin Capital au bord de la faillite. Ce hedge fund avait en effet misé sur la dépréciation de la valeur de l’action GameStop, une enseigne de jeu vidéo en difficulté, par un mécanisme de vente à découvert. Or sur le forum WallStreetBets sur Reddit, les petits porteurs se sont coordonnés pour acheter massivement l’action (initialement coté à 2,57 dollars au mois de mars 2020), le cours est alors monté rapidement (pour atteindre près de 360 dollars), et le phénomène est encore amplifié par la communication sur Twitter (Elon Musk). C’est je crois une illustration du phénomène de coalescence lorsque les réseaux permettent de fédérer des éléments isolés pour une cause particulière.”
Il faut attendre les derniers chapitres de l’ouvrage pour répondre à la question qui presse le lecteur depuis le début de sa lecture: comment lutter contre la guérilla 2.0 et sommes nous organisés comme il faut pour y faire face? Bertrand Boyer est convaincu que les armées occidentales peuvent intégrer cette nouvelle menace et y répondre. Interrogé par OpenFacto, il précise sa pensée: “Nous disposons de peu de recul sur l’analyse de la conflictualité numérique. Les révélations Snowden en 2013 levaient le voile sur l’ampleur de ce que pouvait être la surveillance et l’espionnage informatique mais bien peu sur les capacités d’action offensives que l’on découvre progressivement. Enfin, la manipulation de l’information et l’utilisation des réseaux pour instrumentaliser celle-ci représente un changement important observé depuis 2015. C’est très récent à l’échelle de l’analyse des conflits !
Ce manque de recul historique impose donc une démarche différente pour le chercheur et pour le praticien. Guérilla 2.0 tente de faire le lien entre les invariants du combat irrégulier et les modes d’action des groupes ou États qui opèrent aujourd’hui dans le « cyberespace ». A bien y regarder, il y a de nombreuses équivalences qui peuvent nous aider à mieux appréhender les nouvelles menaces. Ainsi, la surprise, l’action décentralisée, le besoin de rallier des partisans, l’utilisation de « proxys », de mercenaires, etc. sont des pratiques connues depuis l’antiquité qui trouvent un écho dans le combat numérique. C’est cette étude que propose Guérilla 2.0. Je ne dis pas que « rien n’a changé » depuis Alexandre le Grand, mais le cyber n’est pas non plus un champ de conflictualité ou « tout est neuf », il faut analyser et comprendre le milieu et les acteurs en présence pour mieux saisir où se situe l’équilibre. De cette analyse découlent des modèles d’organisation pour les armées qui doivent en permanence s’entraîner et s’adapter à la menace.
Il évoque ainsi des impératifs à prendre en compte avant d’élaborer des modes d’actions de contre-guérilla 2.0:
le cadre juridique de son engagement
la maîtrise des aspects techniques et culturels des nouvelles technologies
le développement de nouveaux partenariats notamment avec les entreprises privées et la société civile
la préférence pour une organisation en réseau plus flexible et rapide dans ses réponses
la compréhension de l’adversaire
la compréhension du milieu socio-culturel du combat numérique
“Depuis 2015 et l’appropriation active par Daesh de l’ensemble des possibilités liées aux technologies (propagande, désinformation, renseignement, agression), le combat numérique a connu une véritable mutation. Défendre les réseaux face à des intrusions ne suffit plus (mais demeure essentiel) il faut aujourd’hui mieux comprendre nos adversaires (étatiques ou non-étatiques), leurs stratégies dans le domaine numérique, leurs outils et leurs méthodes afin de pouvoir penser des mécanismes de réponses adaptés et se défendre au mieux. Cette compréhension large des acteurs et des systèmes impose, peut-être plus que pour les autres domaines d’affrontement, de prendre en compte et de collaborer avec la société civile et le monde de l’entreprise. Face au terrorisme par exemple, de nombreux collectifs sont apparus pour identifier, signaler, et recueillir des informations en ligne. Pour lutter efficacement, la coopération des plateformes s’est révélée essentielle et doit faire l’objet d’une attention particulière. Enfin, je crois que nous devons encore explorer de nouvelles modalités pour permettre à des citoyens de mettre leurs compétences au profit de l’action collective dans un cadre légal défini et le respect d’une stricte éthique partagée.”
Finalement OpenFacto lui a demandé son point de vue sur l’OSINT et si elle peut être une pierre angulaire des actions numériques. Pour lui, les savoir-faire d’investigation en ligne – terme qu’il préfère – sont essentiels à la contre-guérilla 2.0.
“De mon point de vue l’OSINT connaît une évolution spectaculaire depuis quelques années. Elle est, je le crois, une brique essentielle de la guérilla 2.0. Le « cyberespace » signe l’arrêt de mort de ce que nous appelions les « sources ouvertes », cette notion est liée à une vision statique du renseignement où « l’intelligence » c’est d’abord ce qui est secret. Or, aujourd’hui, et en particulier pour conduire des opérations, l’important est de disposer d’une information contextualisée et actualisée. Les systèmes de prise de décision peuvent être rapidement saturés face aux flots continu d’information, il faut donc faire effort sur la qualité plus que la quantité.
Dans ce domaine, les outils et les méthodologies d’investigation en ligne (je préfère cette formulation) permettent le croisement et l’exploitation de données accessibles et la production d’information de haute valeur. A ce titre, « l’OSINT » est un savoir-faire essentiel à la guérilla 2.0 et à ceux qui doivent la contrer.”
On recommande donc chaudement cet ouvrage qui offre une vision française rare et intéressante de la nature insurrectionnelle du cyber dans la guerre moderne et offre une esquisse sur comment contrer cette guérilla 2.0.
http://www.yopmail.com/ est un service de messagerie électronique temporaire, gratuit, et ne nécessitant strictement aucun mot de passe. N’importe qui peut y accéder avec n’importe quel identifiant, lequel peut être soit généré aléatoirement, soit choisit par l’utilisateur lui-même. Le service permet principalement la réception de messages. L’envoi de messages n’est uniquement possible que d’une adresse YOPmail vers une autre.
Lorsqu’un identifiant est utilisé pour la toute première fois, l’utilisateur a accès à une interface sans le moindre message. Par contre, lorsqu’un identifiant a déjà été utilisé, l’utilisateur a accès à l’intégralité des messages déjà reçus à l’adresse concernée, mais utilisée par un tout autre utilisateur. C’est là que ce service va nous intéresser !
Dans cet article, nous nous proposons de procéder à une analyse de l’état de l’art OSINT quant aux possibilités de YOPmail.
Scraping
L’outil suivant offre des possibilités de scraping très intéressantes :
Pour peu qu’un expéditeur revienne fréquemment dans la liste des messages récupérés d’un compte, il y a de fortes chances pour que celui-ci soit particulièrement intéressant. L’OSINTer n’ayant pas le goût de la programmation de scripts pourra même utiliser l’outil suivant à cet effet :
Une adresse mail est souvent utilisée lorsqu’il s’agit de procéder à des notifications, que ce soit sur la supervision d’un serveur de production, ou tout simplement sur un réseau social ou sur un services de petites annonces (« vous avez un nouveau message », « vous avez un nouvel appartement correspondant à votre recherche », … etc).
De telles adresses YOPmail pourront alors être facilement extraites et mises en évidence en utilisant yogo. Un point de vigilance sera cependant à considérer : à partir du moment où yogo est utilisé en masse, les équipements de sécurité derrière le site de YOPmail finissent par interdire l’accès du poste informatique d’où le scraping est lancé. Il conviendra alors d’utiliser un VPN pour procéder aux requêtes (la base …), et surtout de changer régulièrement de proxy.
Avoir le bon mindset
Sur quels types de comptes va t il être pertinent de procéder à nos recherches ?
YOPmail est un outil particulièrement facile d’utilisation et ne nécessite aucun effort de créativité ou d’imagination. Contrairement aux services de messagerie classique, tous les identifiants imaginables et possibles peuvent être utilisés ! Alors, en toute logique, autant considérer en priorité ceux les plus simples, voire même les plus idiots, non ? Ainsi, on pourra considérer :
les onomatopées d’informaticiens en test : toto, titi, tata, tutu, test, …
les jurons et les grossièretés
les célébritésles plus standards (inspiration : « Arrêtez, arrêtez! Vous vous êtes trompé, c’est le président de la République!« , Coluche dans l’Aile ou la Cuisse)
les variations Goldberg sur un clavier d’ordinateur (azertyuiop et ses cousins)
On pourra cependant noter que des résultats intéressants existent avec des variantes autour de nepasrepondre/noreply/donotreply.
Pivots et en-têtes
YOPmail n’est pas totalement standard, à l’exception de la possibilité d’affichage des Headers d’un message :
AInsi, pour peu qu’un message apparaisse comme pertinent, on pourra procéder à des recherches supplémentaires, afin de déterminer d’où il a été envoyé.
Quand un administrateur système fait un test …
Il fait un test ! Ci-après, voici des traces logicielles d’erreur alertant quant à un mot de passe invalide :
Et parfois il se sent juste en verve par rapport à l’actualité :
Par acquis de conscience, et afin de prévenir tout faux positif, l’examen des en-têtes du mail de « Didier Raoult » nous permet bien de retrouver sur Shodan la machine à l’origine du message. Elle fait effectivement partie d’une banque :
C’est toto qui fait du phishing
Au gré de quelques recherches rapides, on découvre le message suivant semblant lié à une banque :
Bien évidemment, l’URL derrière « Mon pass-sécurité » ne correspond en rien à celle d’une banque. Via quelques recherches sur le moteur urlscan.io, on découvre que le domaine derrière cette URL pourrait héberger de multiples plateformes de phishing bancaire :
Le hacking sans avoir à hacker
Sur la base des règles de recherche de compte préétablies (pas d’imagination, pas de recherche, pas de créativité), on trouve également le mail suivant :
Un examen des en-têtes du message ainsi qu’une recherche IP inversée nous permettent bien d’attester que ce message provient de Twitter :
Le compte Twitter associé apparaît comme tout à fait valide. En initiant le process de réinitialisation de compte, on retrouve même l’adresse de messagerie apparaissant dans les en-têtes du mail :
L’adresse en question est une variante/redirection de yopmail.com : courriel.fr.nf. Là où bon nombre de sites empêchent une inscription utilisant yopmail.com, il apparaît que Twitter accepte les adresses utilisant ce nom de domaine alternatif.
Conclusion
Les trouvailles de cet article sont loin d’être exhaustives. A moyen et long terme, il pourrait être pertinent de procéder à une étude plus détaillée des possibilités offertes par YOPmail. Incontestablement, par le biais de quelques recherches au final pas si compliquées, les potentialités de nuisance associées à ce service de messagerie s’avèrent particulièrement nombreuses.
En terme de recherche en sources ouvertes, on remarquera qu’une fois de plus, la puissance et la pertinence d’une source de pivots comme YOPmail ne repose pas sur une grande technicité. Comme toujours, c’est l’analyste qui fait d’abord l’OSINT, et en aucun cas ses outils de travail.
Cette première source d’informations nous permet de conclure d’ores et déjà une chose : la légalité du ou des hébergeurs derrière cet AS est fortement discutable. Le terme couramment usité est « Bulletproof Hosting provider » ou BGP, un hébergeur qui permet à ses clients une clémence considérable dans les types de documents qu’ils peuvent télécharger et distribuer.
Via quelques pivots temporels permis par archive.org ainsi que via les sites Hurricane Electric BGP et ipfinfo.io (qui indexent les propriétés des AS, tant au niveau des plages d’adresses IP que des hébergeurs associés), nous nous proposons d’identifier qui se cache derrière cet AS potentiellement très suspect.
L’ïle mystérieuse
Via ipinfo.io, voici ce que nous découvrons de prime abord pour IP Volume Inc :
Extrait du RIPE
Les informations obtenues sont les mêmes que lorsque nous procédons à un whois sur ipvolume.net
Victoria, sur l’île de Mahé, est la capitale de l’archipel des Seychelles :
Que retenir de tout cela ? Qu’IP Volume Inc se trouve derrière l’AS202425 et qu’elle est enregistrée dans un paradis fiscal bien connu. Et si le pays dispose bien d’une loi contre la cybercriminalité, la coopération internationale y est pour le moins… aléatoire.
Retour vers le passé
Sur Wayback Machine et une recherche du lien https://bgp.he.net/AS29073, nous découvrons ceci et un autre nom « principal » d’hébergeur : Quasi Networks LTD :
Pour un AS différent, nous retrouvons plusieurs plages d’IP de l’AS202425 précédent :
Retour vers le passé du passé
Toujours sur Wayback Machine et une recherche du lien http://ipinfo.io/AS29073, un nouveau nom d’hébergeur apparaît :
Nous retrouvons de nouveau les plages d’adresse IP affichées dans les captures d’écran précédentes :
Un peu d’aide de google
Il y a bien longtemps, dans une lointaine galaxie, IQarus et COLINKS-AS incarnaient le côté obscur de la force :
Par contre, sur malwareurl.com, le côté obscur de la force n’avait pas besoin de pseudonymes :
Un Mail eXchanger pour les gouverner tous
En passant dans Maltego sous de multiples formes et orthographes tous les noms de domaines collectés lors des pivots temporels, on découvre ceci :
Selon les résultats renvoyés par Maltego, le serveur mail.ecatel.net gère les mails destinés entre autres à ecatel.net, quasinetworks.com et ipvolume.net.
Un directeur pour les manager tous
Une recherche supplémentaire dans les bases OCCRP Aleph rajoute encore plus de liant : non plus cette fois sur le plan technique, mais sur le plan légal :
Pour garder un œil critique
Toujours sur Aleph OCCRP, une entrée mentionne que Reinier Van Eeden est né en 1986.
Sur webhostingtalk.nl, on trouve des interventions d’un certain « Reinier V Eeden » dès 2004 (pages traduites automatiquement via Google Translate):
Cela signifie t il que cette personne a commencé à travailler dans le webhosting dès ses 18 ans ? En outre, dans un article de security.nl, tout semble indique qu’Ecatel prenne les activités malveillantes très au sérieux :
Rien ne prouve absolument qu’Iqarus/Colinks/Ecatel/Quasi Netwoks/IP Volume INC hébergent sciemment des activités malveillantes. Cependant, le faisceau d’informations trouvées tout au long de cette enquête pourrait nous laisser penser que cela soit quand même le cas.
Dans tous les cas, on peut retenir une chose : dans le passé, les opportunités de préserver son anonymat étaient probablement moindres. En se focalisant sur quelques pivots temporels via archive.org ou une fonctionnalité de Google, on a au final pu constater qu’en remontant dans le temps, il est potentiellement très aisé et rapide de procéder à des identifications de personnes impossibles en se focalisant sur des informations du présent.
Les pivots temporels sont d’efficaces clés qui permettent d’ouvrir des boîtes de Pandore OSINT.
Pour aller plus loin
Tracing the Crimeware Origins by Reversing Injected Code, une étude forensique qui établit des liens entre Ecatel et le Russian Business Network :
Le Dimanche 1er Octobre 2017, un article du Washington Post rapporte la fin d’attaques informatiques menées par l’United States Cyber Command contre la Corée du Nord, dont l’accès Internet repose jusqu’alors sur l’opérateur China Unicom.
Entre le 1er et le 2 Octobre, deux chercheurs observent des variations dans le routage du trafic provenant de la Corée du Nord, avec l’apparition d’un nouvel opérateur : Transtelecom (TTK), une filiale de Russian Railways, dont l’activité repose entre autres sur l’installation de fibre le long des voies de chemin de fer.
Le pont de l’amitié
Sur le plan du tracé de son réseau, Transtelecom a semble-t’il une branche atteignant la frontière de la Corée du Nord :
Cette portion de plan peut éventuellement faire penser au Pont de l’Amitié Corée du Nord – Russie, un pont ferroviaire sur la frontière entre la Corée du Nord et la Russie. Franchissant le Tumen, il relie la ville de Khassan dans le kraï du Primorié en Russie et la ville de Tumangang située dans la zone économique spéciale de Rason en Corée du Nord.
On retrouve une trace du projet en 2006 lors de la signature d’un projet pilote pour rétablir le trafic sur la section ferrovière de 40 km Khassan-Radjin entre Vladimir Yakunin, président des chemins de fer russes et son homologue nord-coréen Kim Young Sam. Adossé au projet, le président de TransTelecom, filiale des chemins de fer russes, Sergey Lipatov, signe alors avec le Ministère des Communications un accord de coopération pour la construction et l’exploitation conjointe d’une ligne de transmission à fibre optique sur la section reconstruite du chemin de fer transcoréen. Avec les sanctions de l’ONU et les retards de chantier, il faudra plusieurs années à la société projet – RasonConTrans pour mettre en œuvre ce projet. La connexion de la Corée du Nord aux communications internet aurait eu lieu en 2007, inscrivant le pays dans une vaste infrastructure eurasienne.
Inauguration de la ligne en 2011
Un peu de vocabulaire : Autonomous System (AS)
Un Autonomous System (abrégé AS), est un ensemble de réseaux informatiques intégrés à Internet . Un AS est généralement sous le contrôle d’une entité ou organisation unique, typiquement un fournisseur d’accès à Internet. Chaque AS est identifié par un numéro de 16 bits (ou 32 depuis 2007, selon la RFC 48931) , appelé « Autonomous System Number » (ASN). Il est affecté par les organisations qui allouent les adresses IP, les Registres Internet régionaux (RIR). Les numéros d’AS (les ASN) sont utilisés par le protocole de routage Border Gateway Protocol (BGP) entre les systèmes autonomes (les AS).
Le principal AS de la Corée du Nord est AS131279, correspondant aux plages d’adresses IP suivantes :
Chemins des données transitant vers et depuis AS131279
Pour transiter d’un machine locale à une machine connectée au réseau, les paquets IP sont acheminés vers la destination en passant d’un routeur à un autre. Via la commande système traceroute, il est possible de reconstituer l’intégralité de ce chemin, qui va également nous fournir les adresses IPs des équipements par lesquels le paquet de données va passer.
Cette commande peut également être lancée online, via des outils comme : https://hackertarget.com/online-traceroute/. En choisissant arbitrairement des adresses IP sur chacune des plages listées au paragraphe précédent, on constate que les paquets venant/allant de/vers 175.45.176.0/24, 175.45.178.0/24 et 175.45.179.0/24 semblent transiter via China Unicom.
Par contre, ceux venant/allant de/vers 175.45.177.0/24 semblent transiter via TransTelecom :
On pourra éventuellement postuler que dans le sous-domaine Korea-Posts-gw.transtelecom.net, le « gw » signifie gateway (en français : passerelle).
Quelques recherches sur virustracker
Le site virustracker.net est une base de données qui permet de procéder à des recherches d’infections par des botnets, en renseignant une adresse IP ou une plage d’adresses IP. Ainsi, sur 175.45.177.0/24, on trouve 1000 « Infection Records » :
Le site permet de télécharger l’intégralité des enregistrements trouvés dans un fichier au format .csv, lesquels sont horodatés. En les regardant plus en détail, on constate qu’ils commencent au 2 Juin 2015, s’interrompent au 19 Mars 2016 et reprennent le 13 Octobre 2017 pour courir jusqu’au 6 Mars 2020. Les observations faites par Dyn autour de TransTelecom sont datées au début d’Octobre 2017.
Les informations récupérées dans le cadre de cet article ne permettent pas forcément de tirer des conclusions fortes quant aux liens entre la Corée du Nord et TransTelecom. Cependant, rien n’empêche non plus de trouver interpellante la concomitance de dates entre les logs VirusTracker et l’apparition de TransTelecom comme fournisseur d’accès de la Corée du Nord. Dans un futur proche, il pourra être tout à fait pertinent de surveiller de plus belle le trafic provenant de Corée du Nord et transitant via la Russie.
Dans l’article OpenFacto du 25 mars 2020 sur le télétravail, nous présentions le principe global de fonctionnement de l’outil Shodan, qui est de nouveau au cœur du présent article. Ici, toujours sur Shodan, et grâce à la combinaison de quelques filtres de recherche, nous avons découvert que le même fournisseur d’accès Syrien héberge à la fois le portail officiel du gouvernement et des services susceptibles d’être dédiés à des attaques informatiques… Voici comment.
Shodan : filtres de recherche et résultats
En utilisant la syntaxe suivante, Shodan nous permet de filtrer les résultats de recherche par pays :
country:codepays
Pour chaque pays, on va utiliser un code de deux lettres, dont la liste est disponible ici. Ainsi, pour la Syrie, on obtient les résultats suivants :
Shodan permet également la combinaison de filtres pour préciser un peu cette recherche par port
country:SY port:22
Le port 22 est traditionnellement utilisé par le protocole SSH, un outil qui facilite les connexions sécurisées entre deux systèmes, en autorisant la prise en main à distance. Vous comprenez donc que la requête ci-dessus permet de lister les services SSH découverts en Syrie, qui sont en nombre beaucoup moins conséquent :
En regardant de plus près les résultats de recherche ci-dessus, on constate que deux d’entre eux sont étiquetés comme « scanner » (à gauche) :
Lorsqu’une adresse IP trouvée par Shodan comporte une telle étiquette, elle est accompagnée de la mention : « This IP has been observed scanning the Internet. » Cela signifie que les services hébergés par cette adresse IP parcourent l’intégralité du web à la recherche de machines vulnérables, et ce dans le but possible de procéder à des attaques informatiques.
Exploration du sous-réseau
Les deux adresses IP trouvées ci-dessus font partie du même réseau /24, à savoir :
a.b.c.x
a.b.c.y
Dans shodan, un autre filtre de recherche permet de lister toutes les adresses IP trouvées sur un même sous-réseau :
net:a.b.c.0/24
Parmi les résultats de recherche, on trouve la machine suivante, hébergée par Syrian Telecom comme toutes les autres machines du même sous réseau /24 :
Exploration sécurisée d’URLs
Dans la capture d’écran précédente, l’icône suivante permet d’accéder directement à l’URL trouvée par Shodan, non plus via https://www.monadresse.com mais http://monadresseIP:monport :
En faisant un clic droit sur l’icône, on va sélectionner « Copier l’adresse du lien » et la renseigner dans le moteur de recherches du site urlscan.io.
urlscan.io est un scanner d’URL qui permet d’obtenir des informations sur des sites web potentiellement frauduleux, et qui fournit en sortie une capture d’écran des pages capturées. Plus précisément, dans le cas qui nous concerne, cet outil permet de parcourir des sites web à notre place, sans laisser de trace(s) d’accès ni risquer une éventuelle infection.
On constate alors que le site web trouvé par Shodan est le portail officiel du gouvernement Syrien :
Corroboration des résultats trouvés
Lorsque les administrateurs système d’équipements informatiques constatent des requêtes suspectes venant d’adresses IP, ils ont à leur disposition des moteurs de listes noires. Sur ces outils, ils peuvent à la fois renseigner le détail des requêtes suspectes reçues, et rechercher si les adresses IPs en question n’ont pas déjà été la source d’autres requêtes frauduleuses.
Ainsi, sur abuseipdb.com, on remarque que huit adresses IP sur ce range sont signalées :
Parmi celles-ci, une des deux adresses a déjà été mentionnée plus de 600 fois depuis le début de l’année 2020, et est toujours en activité :
Même chose pour la seconde adresse IP, mentionnée plus de 400 fois depuis Décembre 2019, et elle aussi, toujours en activité :
Pour l’anecdote, on notera que durant la rédaction de cet article, le compteur de ces signalements d’abus a continué à tourner!….
Pour aller plus loin
Le dernier rapport d’activité de Syrian Telecom accessible en ligne date de… 2011, conflit oblige. Mais cet opérateur de télécommunication, très lié au régime syrien (Le chef de l’Etat en est le président…) mène depuis longtemps des activités « agressives » sur et depuis son réseau :
sur son territoire pour la surveillance des communications du pays (il est intimement lié à l’affaire Qosmos, par exemple entre 2009 et 2011. Lire à ce sujet les articles de Mediapart et de reflets.info)
A l’international, avec au moins deux détournements de trafic (BGP Hijack) identifiés en 2014 et en 2015 par exemple…
Pour autant, il convient d’être particulièrement prudent quant à l’interprétation des résultats des observations ci-dessus et de préciser que l’attribution formelle à l’opérateur des scans opérés par la machine syrienne est impossible à faire sur la base de ces quelques éléments.
En effet, la machine observée ci-dessus, par exemple, fait tourner un certain nombre de services (serveur ftp, web, etc…) qui s’ils apparaissent assez légitimes, n’en sont pas moins obsolètes dans leurs versions déployées et particulièrement sensibles aux vulnérabilités (CVE). L’hypothèse d’une compromission de ce serveur par un ou plusieurs autres attaquants, nationaux ou internationaux, dans le but de masquer leur(s) réelle(s) origine(s), est ainsi tout à fait envisageable.
Outils
Pour réaliser ces recherches, nous utilisons les services de Shodan. L’accès à l’application est gratuite pour quelques recherches élémentaires mais payante pour des recherches plus approfondies. Les tarifs peuvent être un peu prohibitifs pour les particuliers mais sachez qu’en général, il y a toujours quelques promotions pour le Black Friday par exemple.
Il est également possible d’utiliser Censys.io ou encore l’application française Onyphe…
Ajout du 5 avril 2020 : @Mbahal nous recommande également le site internet greynoise.io
