Y a plein de mails intéressants sur yopmail.com

Y a plein de mails intéressants sur yopmail.com

Introduction

http://www.yopmail.com/ est un service de messagerie électronique temporaire, gratuit, et ne nécessitant strictement aucun mot de passe. N’importe qui peut y accéder avec n’importe quel identifiant, lequel peut être soit généré aléatoirement, soit choisit par l’utilisateur lui-même. Le service permet principalement la réception de messages. L’envoi de messages n’est uniquement possible que d’une adresse YOPmail vers une autre.

Lorsqu’un identifiant est utilisé pour la toute première fois, l’utilisateur a accès à une interface sans le moindre message. Par contre, lorsqu’un identifiant a déjà été utilisé, l’utilisateur a accès à l’intégralité des messages déjà reçus à l’adresse concernée, mais utilisée par un tout autre utilisateur. C’est là que ce service va nous intéresser !

Dans cet article, nous nous proposons de procéder à une analyse de l’état de l’art OSINT quant aux possibilités de YOPmail.

Scraping

L’outil suivant offre des possibilités de scraping très intéressantes :

https://github.com/antham/yogo

Pour peu qu’un expéditeur revienne fréquemment dans la liste des messages récupérés d’un compte, il y a de fortes chances pour que celui-ci soit particulièrement intéressant. L’OSINTer n’ayant pas le goût de la programmation de scripts pourra même utiliser l’outil suivant à cet effet :

https://www.browserling.com/tools/word-frequency

Une adresse mail est souvent utilisée lorsqu’il s’agit de procéder à des notifications, que ce soit sur la supervision d’un serveur de production, ou tout simplement sur un réseau social ou sur un services de petites annonces (« vous avez un nouveau message », « vous avez un nouvel appartement correspondant à votre recherche », … etc).

De telles adresses YOPmail pourront alors être facilement extraites et mises en évidence en utilisant yogo. Un point de vigilance sera cependant à considérer : à partir du moment où yogo est utilisé en masse, les équipements de sécurité derrière le site de YOPmail finissent par interdire l’accès du poste informatique d’où le scraping est lancé. Il conviendra alors d’utiliser un VPN pour procéder aux requêtes (la base …), et surtout de changer régulièrement de proxy.

Avoir le bon mindset

Sur quels types de comptes va t il être pertinent de procéder à nos recherches ?

YOPmail est un outil particulièrement facile d’utilisation et ne nécessite aucun effort de créativité ou d’imagination. Contrairement aux services de messagerie classique, tous les identifiants imaginables et possibles peuvent être utilisés ! Alors, en toute logique, autant considérer en priorité ceux les plus simples, voire même les plus idiots, non ? Ainsi, on pourra considérer :

  • les onomatopées d’informaticiens en test : toto, titi, tata, tutu, test, …
  • les jurons et les grossièretés
  • les célébrités les plus standards (inspiration : « Arrêtez, arrêtez! Vous vous êtes trompé, c’est le président de la République!« , Coluche dans l’Aile ou la Cuisse)
  • les variations Goldberg sur un clavier d’ordinateur (azertyuiop et ses cousins)

On pourra cependant noter que des résultats intéressants existent avec des variantes autour de nepasrepondre/noreply/donotreply.

Pivots et en-têtes

YOPmail n’est pas totalement standard, à l’exception de la possibilité d’affichage des Headers d’un message :

AInsi, pour peu qu’un message apparaisse comme pertinent, on pourra procéder à des recherches supplémentaires, afin de déterminer d’où il a été envoyé.

Quand un administrateur système fait un test …

Il fait un test ! Ci-après, voici des traces logicielles d’erreur alertant quant à un mot de passe invalide :

Et parfois il se sent juste en verve par rapport à l’actualité :

Par acquis de conscience, et afin de prévenir tout faux positif, l’examen des en-têtes du mail de « Didier Raoult » nous permet bien de retrouver sur Shodan la machine à l’origine du message. Elle fait effectivement partie d’une banque :

C’est toto qui fait du phishing

Au gré de quelques recherches rapides, on découvre le message suivant semblant lié à une banque :

Bien évidemment, l’URL derrière « Mon pass-sécurité » ne correspond en rien à celle d’une banque. Via quelques recherches sur le moteur urlscan.io, on découvre que le domaine derrière cette URL pourrait héberger de multiples plateformes de phishing bancaire :

Le hacking sans avoir à hacker

Sur la base des règles de recherche de compte préétablies (pas d’imagination, pas de recherche, pas de créativité), on trouve également le mail suivant :

Un examen des en-têtes du message ainsi qu’une recherche IP inversée nous permettent bien d’attester que ce message provient de Twitter :

Le compte Twitter associé apparaît comme tout à fait valide. En initiant le process de réinitialisation de compte, on retrouve même l’adresse de messagerie apparaissant dans les en-têtes du mail :

L’adresse en question est une variante/redirection de yopmail.com : courriel.fr.nf. Là où bon nombre de sites empêchent une inscription utilisant yopmail.com, il apparaît que Twitter accepte les adresses utilisant ce nom de domaine alternatif.

Conclusion

Les trouvailles de cet article sont loin d’être exhaustives. A moyen et long terme, il pourrait être pertinent de procéder à une étude plus détaillée des possibilités offertes par YOPmail. Incontestablement, par le biais de quelques recherches au final pas si compliquées, les potentialités de nuisance associées à ce service de messagerie s’avèrent particulièrement nombreuses.

En terme de recherche en sources ouvertes, on remarquera qu’une fois de plus, la puissance et la pertinence d’une source de pivots comme YOPmail ne repose pas sur une grande technicité. Comme toujours, c’est l’analyste qui fait d’abord l’OSINT, et en aucun cas ses outils de travail.

Enquête sur un hébergeur en dessous de tout soupçon

Enquête sur un hébergeur en dessous de tout soupçon

Préambule

Dans l’article OpenFacto du 20 avril 2020 sur la Corée du Nord, nous explicitions la notion d’Autonomous System (AS), qui va être de nouveau utilisée au sein du présent article. De même, l’article OpenFacto du 3 Avril 2020 sur Syrian Telecom présente l’outil urlscan.io, auquel nous allons encore avoir recours.

Nous invitons vivement le lecteur à se référer à ces anciens articles pour une meilleure compréhension de cette enquête.

Identification d’une cible

(Trigger Warning : la première URL du présent paragraphe comporte des screenshots pouvant heurter la sensibilité des personnes les plus fragiles)

Considérons l’AS202425. Grâce à l’outil urlscan.io, nous disposons de multiples captures d’écran des sites qui y sont hébergés :

https://urlscan.io/asn/AS202425

… ainsi que d’un nombre conséquent d’URLs :

https://urlscan.io/search/#page.asn:%22AS202425%22

Cette première source d’informations nous permet de conclure d’ores et déjà une chose : la légalité du ou des hébergeurs derrière cet AS est fortement discutable. Le terme couramment usité est « Bulletproof Hosting provider » ou BGP, un hébergeur qui permet à ses clients une clémence considérable dans les types de documents qu’ils peuvent télécharger et distribuer.

Via quelques pivots temporels permis par archive.org ainsi que via les sites Hurricane Electric BGP et ipfinfo.io (qui indexent les propriétés des AS, tant au niveau des plages d’adresses IP que des hébergeurs associés), nous nous proposons d’identifier qui se cache derrière cet AS potentiellement très suspect.

L’ïle mystérieuse

Via ipinfo.io, voici ce que nous découvrons de prime abord pour IP Volume Inc :

Extrait du RIPE

Les informations obtenues sont les mêmes que lorsque nous procédons à un whois sur ipvolume.net

Victoria, sur l’île de Mahé, est la capitale de l’archipel des Seychelles :

Que retenir de tout cela ? Qu’IP Volume Inc se trouve derrière l’AS202425 et qu’elle est enregistrée dans un paradis fiscal bien connu. Et si le pays dispose bien d’une loi contre la cybercriminalité, la coopération internationale y est pour le moins… aléatoire.

Retour vers le passé

Sur Wayback Machine et une recherche du lien https://bgp.he.net/AS29073, nous découvrons ceci et un autre nom « principal » d’hébergeur : Quasi Networks LTD :

Pour un AS différent, nous retrouvons plusieurs plages d’IP de l’AS202425 précédent :

Retour vers le passé du passé

Toujours sur Wayback Machine et une recherche du lien http://ipinfo.io/AS29073, un nouveau nom d’hébergeur apparaît :

Nous retrouvons de nouveau les plages d’adresse IP affichées dans les captures d’écran précédentes :

Un peu d’aide de google

Il y a bien longtemps, dans une lointaine galaxie, IQarus et COLINKS-AS incarnaient le côté obscur de la force :

Par contre, sur malwareurl.com, le côté obscur de la force n’avait pas besoin de pseudonymes :

Un Mail eXchanger pour les gouverner tous

En passant dans Maltego sous de multiples formes et orthographes tous les noms de domaines collectés lors des pivots temporels, on découvre ceci :

Selon les résultats renvoyés par Maltego, le serveur mail.ecatel.net gère les mails destinés entre autres à ecatel.net, quasinetworks.com et ipvolume.net.

Un directeur pour les manager tous

Une recherche supplémentaire dans les bases OCCRP Aleph rajoute encore plus de liant : non plus cette fois sur le plan technique, mais sur le plan légal :

Pour garder un œil critique

Toujours sur Aleph OCCRP, une entrée mentionne que Reinier Van Eeden est né en 1986.

Sur webhostingtalk.nl, on trouve des interventions d’un certain « Reinier V Eeden » dès 2004 (pages traduites automatiquement via Google Translate):

Cela signifie t il que cette personne a commencé à travailler dans le webhosting dès ses 18 ans ? En outre, dans un article de security.nl, tout semble indique qu’Ecatel prenne les activités malveillantes très au sérieux :

Source : https://translate.google.com/translate?hl=fr&sl=nl&u=https://www.security.nl/posting/30936/%2522Nederlandse%2Bprovider%2Bbroeinest%2Bvan%2Bcybercrime%2522&prev=search

Conclusion

Rien ne prouve absolument qu’Iqarus/Colinks/Ecatel/Quasi Netwoks/IP Volume INC hébergent sciemment des activités malveillantes. Cependant, le faisceau d’informations trouvées tout au long de cette enquête pourrait nous laisser penser que cela soit quand même le cas.

Dans tous les cas, on peut retenir une chose : dans le passé, les opportunités de préserver son anonymat étaient probablement moindres. En se focalisant sur quelques pivots temporels via archive.org ou une fonctionnalité de Google, on a au final pu constater qu’en remontant dans le temps, il est potentiellement très aisé et rapide de procéder à des identifications de personnes impossibles en se focalisant sur des informations du présent.

Les pivots temporels sont d’efficaces clés qui permettent d’ouvrir des boîtes de Pandore OSINT.

Pour aller plus loin

Tracing the Crimeware Origins by Reversing Injected Code, une étude forensique qui établit des liens entre Ecatel et le Russian Business Network :

https://resources.infosecinstitute.com/zeroaccess-malware-part-4-tracing-the-crimeware-origins-by-reversing-injected-code/

Une étude de SiteVet.com, qui a réalisé des calculs de « taux de malveillance » sur l’AS29073 :

https://web.archive.org/web/20110822201827/http://www.sitevet.com/pdf/asn/AS29073

« Quasi Networks and the Exploitation of Women », une passionnante enquête en deux parties, où l’on retrouve Reinier Van Eeden

https://medium.com/@dephekt/anon-ib-quasi-networks-and-the-online-exploitation-of-women-dc2649daba0f

https://medium.com/@dephekt/part-2-anon-ib-quasi-networks-and-the-exploitation-of-women-6a86723f44fd

« A conversation with RIPE NCC regarding Quasi Networks LTD (AS29073) »

Un post de ripe.net consacré au trafic d’adresses IP, et où Ecatel et Quasi Networks sont de nouveau cités :

https://www.ripe.net/participate/mail/forum/anti-abuse-wg/PDIwNTc3LjE1Njc3NTg3NDlAc2VnZmF1bHQudHJpc3RhdGVsb2dpYy5jb20+

Pour les lecteurs les plus technophiles, la sauvegarde d’un pastebin très détaillé :

http://archive.is/nTLVe

La Corée du Nord a la fibre slave

La Corée du Nord a la fibre slave

Le Dimanche 1er Octobre 2017, un article du Washington Post rapporte la fin d’attaques informatiques menées par l’United States Cyber Command contre la Corée du Nord, dont l’accès Internet repose jusqu’alors sur l’opérateur China Unicom.

Entre le 1er et le 2 Octobre, deux chercheurs observent des variations dans le routage du trafic provenant de la Corée du Nord, avec l’apparition d’un nouvel opérateur : Transtelecom (TTK), une filiale de Russian Railways, dont l’activité repose entre autres sur l’installation de fibre le long des voies de chemin de fer.

Le pont de l’amitié

Sur le plan du tracé de son réseau, Transtelecom a semble-t’il une branche atteignant la frontière de la Corée du Nord :

Cette portion de plan peut éventuellement faire penser au Pont de l’Amitié Corée du Nord – Russie, un pont ferroviaire sur la frontière entre la Corée du Nord et la Russie. Franchissant le Tumen, il relie la ville de Khassan dans le kraï du Primorié en Russie et la ville de Tumangang située dans la zone économique spéciale de Rason en Corée du Nord.

On retrouve une trace du projet en 2006 lors de la signature d’un projet pilote pour rétablir le trafic sur la section ferrovière de 40 km Khassan-Radjin entre Vladimir Yakunin, président des chemins de fer russes et son homologue nord-coréen Kim Young Sam. Adossé au projet, le président de TransTelecom, filiale des chemins de fer russes, Sergey Lipatov, signe alors avec le Ministère des Communications un accord de coopération pour la construction et l’exploitation conjointe d’une ligne de transmission à fibre optique sur la section reconstruite du chemin de fer transcoréen. Avec les sanctions de l’ONU et les retards de chantier, il faudra plusieurs années à la société projet – RasonConTrans pour mettre en œuvre ce projet. La connexion de la Corée du Nord aux communications internet aurait eu lieu en 2007, inscrivant le pays dans une vaste infrastructure eurasienne.

Inauguration de la ligne en 2011

Un peu de vocabulaire : Autonomous System (AS)

Un Autonomous System (abrégé AS), est un ensemble de réseaux informatiques intégrés à Internet . Un AS est généralement sous le contrôle d’une entité ou organisation unique, typiquement un fournisseur d’accès à Internet. Chaque AS est identifié par un numéro de 16 bits (ou 32 depuis 2007, selon la RFC 48931) , appelé « Autonomous System Number » (ASN). Il est affecté par les organisations qui allouent les adresses IP, les Registres Internet régionaux (RIR). Les numéros d’AS (les ASN) sont utilisés par le protocole de routage Border Gateway Protocol (BGP) entre les systèmes autonomes (les AS).

Le principal AS de la Corée du Nord est AS131279, correspondant aux plages d’adresses IP suivantes :

  • 175.45.176.0/24
  • 175.45.177.0/24
  • 175.45.178.0/24
  • 175.45.179.0/24

(Pour une explication de la notion de /24, voir )

Chemins des données transitant vers et depuis AS131279

Pour transiter d’un machine locale à une machine connectée au réseau, les paquets IP sont acheminés vers la destination en passant d’un routeur à un autre. Via la commande système traceroute, il est possible de reconstituer l’intégralité de ce chemin, qui va également nous fournir les adresses IPs des équipements par lesquels le paquet de données va passer.

Cette commande peut également être lancée online, via des outils comme : https://hackertarget.com/online-traceroute/. En choisissant arbitrairement des adresses IP sur chacune des plages listées au paragraphe précédent, on constate que les paquets venant/allant de/vers 175.45.176.0/24, 175.45.178.0/24 et 175.45.179.0/24 semblent transiter via China Unicom.

Par contre, ceux venant/allant de/vers 175.45.177.0/24 semblent transiter via TransTelecom :

On pourra éventuellement postuler que dans le sous-domaine Korea-Posts-gw.transtelecom.net, le « gw » signifie gateway (en français : passerelle).

Quelques recherches sur virustracker

Le site virustracker.net est une base de données qui permet de procéder à des recherches d’infections par des botnets, en renseignant une adresse IP ou une plage d’adresses IP. Ainsi, sur 175.45.177.0/24, on trouve 1000 « Infection Records » :

Le site permet de télécharger l’intégralité des enregistrements trouvés dans un fichier au format .csv, lesquels sont horodatés. En les regardant plus en détail, on constate qu’ils commencent au 2 Juin 2015, s’interrompent au 19 Mars 2016 et reprennent le 13 Octobre 2017 pour courir jusqu’au 6 Mars 2020. Les observations faites par Dyn autour de TransTelecom sont datées au début d’Octobre 2017.


Les informations récupérées dans le cadre de cet article ne permettent pas forcément de tirer des conclusions fortes quant aux liens entre la Corée du Nord et TransTelecom. Cependant, rien n’empêche non plus de trouver interpellante la concomitance de dates entre les logs VirusTracker et l’apparition de TransTelecom comme fournisseur d’accès de la Corée du Nord. Dans un futur proche, il pourra être tout à fait pertinent de surveiller de plus belle le trafic provenant de Corée du Nord et transitant via la Russie.

Pour aller plus loin

Syrian Telecom : portail gouvernemental et attaques informatiques…

Syrian Telecom : portail gouvernemental et attaques informatiques…

Dans l’article OpenFacto du 25 mars 2020 sur le télétravail, nous présentions le principe global de fonctionnement de l’outil Shodan, qui est de nouveau au cœur du présent article. Ici, toujours sur Shodan, et grâce à la combinaison de quelques filtres de recherche, nous avons découvert que le même fournisseur d’accès Syrien héberge à la fois le portail officiel du gouvernement et des services susceptibles d’être dédiés à des attaques informatiques…
Voici comment.

Shodan : filtres de recherche et résultats

En utilisant la syntaxe suivante, Shodan nous permet de filtrer les résultats de recherche par pays :

country:codepays

Pour chaque pays, on va utiliser un code de deux lettres, dont la liste est disponible ici. Ainsi, pour la Syrie, on obtient les résultats suivants :

Shodan permet également la combinaison de filtres pour préciser un peu cette recherche par port

country:SY port:22

Le port 22 est traditionnellement utilisé par le protocole SSH, un outil qui facilite les connexions sécurisées entre deux systèmes, en autorisant la prise en main à distance. Vous comprenez donc que la requête ci-dessus permet de lister les services SSH découverts en Syrie, qui sont en nombre beaucoup moins conséquent :

En regardant de plus près les résultats de recherche ci-dessus, on constate que deux d’entre eux sont étiquetés comme « scanner » (à gauche) :

Lorsqu’une adresse IP trouvée par Shodan comporte une telle étiquette, elle est accompagnée de la mention : « This IP has been observed scanning the Internet. » Cela signifie que les services hébergés par cette adresse IP parcourent l’intégralité du web à la recherche de machines vulnérables, et ce dans le but possible de procéder à des attaques informatiques.

Exploration du sous-réseau

Les deux adresses IP trouvées ci-dessus font partie du même réseau /24, à savoir :

  • a.b.c.x
  • a.b.c.y

Dans shodan, un autre filtre de recherche permet de lister toutes les adresses IP trouvées sur un même sous-réseau :

net:a.b.c.0/24

Parmi les résultats de recherche, on trouve la machine suivante, hébergée par Syrian Telecom comme toutes les autres machines du même sous réseau /24 :

Exploration sécurisée d’URLs

Dans la capture d’écran précédente, l’icône suivante permet d’accéder directement à l’URL trouvée par Shodan, non plus via https://www.monadresse.com mais http://monadresseIP:monport :

En faisant un clic droit sur l’icône, on va sélectionner « Copier l’adresse du lien » et la renseigner dans le moteur de recherches du site urlscan.io.

urlscan.io est un scanner d’URL qui permet d’obtenir des informations sur des sites web potentiellement frauduleux, et qui fournit en sortie une capture d’écran des pages capturées. Plus précisément, dans le cas qui nous concerne, cet outil permet de parcourir des sites web à notre place, sans laisser de trace(s) d’accès ni risquer une éventuelle infection.

On constate alors que le site web trouvé par Shodan est le portail officiel du gouvernement Syrien :

Corroboration des résultats trouvés

Lorsque les administrateurs système d’équipements informatiques constatent des requêtes suspectes venant d’adresses IP, ils ont à leur disposition des moteurs de listes noires. Sur ces outils, ils peuvent à la fois renseigner le détail des requêtes suspectes reçues, et rechercher si les adresses IPs en question n’ont pas déjà été la source d’autres requêtes frauduleuses.

Ainsi, sur abuseipdb.com, on remarque que huit adresses IP sur ce range sont signalées :

Parmi celles-ci, une des deux adresses a déjà été mentionnée plus de 600 fois depuis le début de l’année 2020, et est toujours en activité :

Même chose pour la seconde adresse IP, mentionnée plus de 400 fois depuis Décembre 2019, et elle aussi, toujours en activité :

Pour l’anecdote, on notera que durant la rédaction de cet article, le compteur de ces signalements d’abus a continué à tourner!….

Pour aller plus loin

Le dernier rapport d’activité de Syrian Telecom accessible en ligne date de… 2011, conflit oblige.
Mais cet opérateur de télécommunication, très lié au régime syrien (Le chef de l’Etat en est le président…) mène depuis longtemps des activités « agressives » sur et depuis son réseau :

  • sur son territoire pour la surveillance des communications du pays (il est intimement lié à l’affaire Qosmos, par exemple entre 2009 et 2011. Lire à ce sujet les articles de Mediapart et de reflets.info)
  • A l’international, avec au moins deux détournements de trafic (BGP Hijack) identifiés en 2014 et en 2015 par exemple…

Pour autant, il convient d’être particulièrement prudent quant à l’interprétation des résultats des observations ci-dessus et de préciser que l’attribution formelle à l’opérateur des scans opérés par la machine syrienne est impossible à faire sur la base de ces quelques éléments.

En effet, la machine observée ci-dessus, par exemple, fait tourner un certain nombre de services (serveur ftp, web, etc…) qui s’ils apparaissent assez légitimes, n’en sont pas moins obsolètes dans leurs versions déployées et particulièrement sensibles aux vulnérabilités (CVE).
L’hypothèse d’une compromission de ce serveur par un ou plusieurs autres attaquants, nationaux ou internationaux, dans le but de masquer leur(s) réelle(s) origine(s), est ainsi tout à fait envisageable.

Outils

Pour réaliser ces recherches, nous utilisons les services de Shodan. L’accès à l’application est gratuite pour quelques recherches élémentaires mais payante pour des recherches plus approfondies. Les tarifs peuvent être un peu prohibitifs pour les particuliers mais sachez qu’en général, il y a toujours quelques promotions pour le Black Friday par exemple.

Il est également possible d’utiliser Censys.io ou encore l’application française Onyphe

Ajout du 5 avril 2020 : @Mbahal nous recommande également le site internet greynoise.io