X

Anna-Senpai, l’auteur du botnet Mirai démasqué ?

Après avoir mené l’enquête, le journaliste spécialisé en cybersécurité, Brian Krebs, pense avoir découvert qui se cache derrière le pseudo Anna-Senpai, le créateur du botnet IoT.

Mirai a fait l’actualité de la fin de l’année 2016. Le botnet, qui se sert des objets connectés pour mener de violentes attaques en déni de service (DDos), a révélé le manque de sécurité de l’Internet des objets (IoT). Le journaliste Brian Krebs a été la victime d’une attaque record de 620 Gb/s, en septembre 2016. Depuis, il s’est mis en tête de trouver qui est à l’origine du botnet.

Pour cela, il est parti du pseudonyme utilisé par l’auteur de Mirai au moment de la publication du code source : Anna-Senpai, le personnage de l’animé japonais Mirai Nikki, d’où vient aussi le nom du botnet. Brian Krebs a publié ses découvertes sur son blog. Il a d’abord compris que Mirai n’est pas apparu en 2016, mas qu’il fait partie d’une « famille de botnets IoT », utilisés depuis trois ans sous les noms « Bashlite », « Gafgyt », « Qbot », « Remaiten «  et « Torlus ». Tous ayant un mode opératoire similaire.


Les liens avec le groupe lelddos

Brian Krebs a identifié un groupe de « hooligans d’internet », lelddos, qui, en 2014, ont utilisé, sans s’en cacher un ancêtre de Mirai. Les attaques DDoS menées par les hackers de lelddos visaient particulièrement les serveurs du jeu Minecraft. Interrogé par Brian Krebs, le vice-président de ProxyPipe, la société chargée de protéger les serveurs de Minecraft contre les attaques par saturation, Roberto Coelho lui révèle qu’en 2015, juste avant une attaque sur ses clients, il a reçu des menaces de la part d’un certain Christopher « CJ »  Sculti Jr., 17 ans à l’époque, « patron et unique employé d’une entreprise concurrente de protection contre les DDoS nommée Datawagon ».

Les serveurs de Datawagon sont hébergés chez ProTraf Solutions, une autre entreprise qui lorgne sur les clients Minecraft de ProxyPipe. Les attaques contre l’entreprise de Roberto Coelho ont fonctionné : elle a perdu des clients au profit de ProTraf. Selon Brian Krebs, Coelho « pense que les membres principaux de lelddos étaient Sculti et les dirigeants de ProTraf ».

ProTraf, au cœur de l’affaire

La piste se découvre petit à petit pour le journaliste. Un autre nom, associé à ProTraf fait son apparition : Josiah White, un employé de 19 ans. Josiah White est plus connu des hackers sous le pseudo LiteSpeed, qu’il utilisait sur Hackforums.net. Le jeune homme serait à l’origine des botnets Qbot et Bashlite. Josiah White reconnaît son implication mais dit ne jamais avoir eu l’intention de vendre son code sur internet. Le hacker raconte à Brian Krebs qu’il y a été contraint, sous la menace d’un membre du forum, Vypor, sous peine de voir sa vie privée dévoilée sur la toile.

Le journaliste n’en a pas fini avec l’entreprise ProTraf Solutions. Il ne reste qu’une personne, le patron, Paras Jha. Son profil LinkedIn révèle des compétences en informatiques importantes : « C#, Java, Golang, C, C++, PHP, x86 ASM, sans parler des langages des navigateurs web comme Javascript et  HTML/CSS. » De plus, Paras Jha a travaillé pour Minetime, « un des serveurs Minecraft les plus populaires à l’époque. »

Brian Krebs a déjà vu ce type de profil ailleurs. « Ce mélange de compétences en programmation est extrêmement similaire aux compétences listées sur Hackforums par rien de moins que l’auteur de Mirai, Anna-Senpai. »

Tous les chemins mènent à Paras Jha

En creusant plus profondément dans l’historique de Paras Jha, il tombe sur un site, qui n’est plus en ligne, dans lequel le jeune homme indique avoir lancé une compagnie pour héberger les serveurs de Minecraft et donner des solutions à ses clients pour atténuer les attaques DDoS. Il crée aussi un projet open source sur GitHub. Le tout est publié sous le nom Dreadiscool. Ce nom est aussi utilisé sur le site MyAnimeList.net, où Dreadiscool indique avoir regardé l’animé Mirai Nikki, qui a donné son nom au botnet.

Autre indice, le code de Mirai posté par Anna-Senpai ressemble étrangement à celui posté sur GitHub par Dreadiscool, selon Roberto Coelho, qui connaît Paras Jha « depuis plus de 4 ans », au moment où celui-ci travaillait pour Minetime. Quand Minetime est victime d’une attaque en 2013, Paras Jha rejoint Hackforums et Roberto Coelho n’aura plus aucune nouvelle de lui.

La dernière personne que Brian Krebs a contacté est un ancien collègue de Paras Jha, Ammar Zuberi. Selon lui, Namecentral, le registrar utilisé pour l’enregistrement du nom de domaine sur lequel Anna-Senpai a fait fuiter le code de Mirai n’était connu que de cinq personnes : lui-même, CJ Sculti, Paras Jha, Josiah White et le propriétaire Jesse Wu. « J’ai demandé tout de suite à Paras si c’était lui, raconte Ammar Zuberi. Il a souri et m’a répondu oui ».

Paras Jha a fini par répondre aux demandes de Brian Krebs, niant être l’auteur de Mirai. « Je pense qu’il n’y a pas assez de faits pour me pointer du doigt de manière catégorique », a-t-il répondu.


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Sécurité

A VOTRE AVIS...
GitLab

GitLab

Solution libre de « forge » pour le dépôt de code basé, tout comme GitHub, sur le gestionnaire de versions Git, GitLab continue son ascension. Il offre une solution intégrant parfaitement...

20 TECHNOS

20 TECHNOS

Dossier réalisé par Bertrand Garé et Guillaume Périssat avec Michel Chotard, Alain Clapaud et Bastien Lion.

CI/CD as a Service

CI/CD as a Service

L’intégration et la livraison continues sont des composantes fondamentales de la démarche DevOps. Toutefois, alors que les pipelines doivent prendre en compte les nouvelles architectures – conteneurs notamment –,...

Disque dur

Disque dur

Bousculé par la vitesse des mémoires Flash, le disque dur semble condamné. Pourtant, la demande en capacité ne faiblit pas, au contraire, elle s’envole, portée par les besoins infinis du Cloud…

RSS
Afficher tous les dossiers

BASES DE DONNÉES : le DBaaS va tout balayer - Gestion de l'information : structurer le non structuré ! - Municipales : la politique se numérise, le numérique se politise - Cybersécurité : les planètes Cyber alignées ! - DevOps : WevAssembly, langage assembleur du Web - AMP confié à OpenJS - Pénurie des formations IA - À la recherche de nouvelles compétences IT...

 

20 TECHNOS pour 2020 et au-delà... : multicloud, rpa, edge&fog, apis, quantique... - La transfo numérique exemplaire d'une PME industrielle - BYOK : chiffrer le Cloud - L'Open Source teinté d'Orange - Mettre de l'intelligence dans l'APM - Le disque dur fait de la résistance - CI/CD as a Service - Digital Campus, n°1 des écoles du numérique...

 

L'IA AU COEUR DES MÉTIERS : retours d'expérience Cemex, Lamborghini, Decathlon, HSBC - Google Cloud Platform : tout sur la migration ! - Edge Computing, chaînon manquant - Cybersécurité : lutter contre l'ennemi intérieur - Ansible, outil de prédilection des DevOps - Docker, de Montrouge à la roche tarpéienne...

 

Afficher tous les derniers numéros

Découvrez dans ce livre blanc, les avantages des toutes nouvelles solutions NETGEAR, pour simplifier et rentabiliser vos déploiements, et gérer votre réseau à distance, où que vous soyez, au bureau ou en télé-travail.


OneTrust est une plateforme logicielle innovante de gestion de la confidentialité, de la sécurité des données personnelles et des risques fournisseurs. Plus de 4 000 entreprises ont choisi de faire confiance à cette solution pour se conformer au RGPD, au CCPA, aux normes ISO 27001 et à différentes législations internationales de confidentialité et de sécurité des données personnelles.

OneTrust vous propose de télécharger le texte officiel du Règlement Général sur la Protection des Données (RGPD). Vous aurez également la possibilité de recevoir la version imprimée de ce texte, sous forme de guide pratique au format A5, spiralé, en complétant le formulaire.


Le présent guide d'achat vous aidera à améliorer l'efficacité de votre cloud hybride, en mettant l'accent sur les stratégies de gestion des données dédiées aux applications correspondantes.


Les entreprises et les organismes publics se focalisent aujourd’hui sur la transformation numérique. En conséquence, les DevOps et l’agilité sont au premier plan des discussions autour des stratégies informatiques. Pour offrir ces deux avantages, les entreprises travaillent de plus en plus avec les fournisseurs de services de cloud public et développent désormais des clouds sur site à partir d’une infrastructure qui répond à trois exigences de base:
1. Agilité sans friction des ressources physiques
2. Systèmes de contrôle optimisant l'utilisation des ressources physiques et offrant un retour sur investissement maximal
3. Intégration des divers composants de l'infrastructure pour un provisionnement et une gestion des ressources automatisés.


Pour fonctionner, votre entreprise doit pouvoir compter sur une solution de sauvegarde efficace, essentielle dans un monde marqué par une croissance exponentielle des données. Vous devez à la fois accélérer vos sauvegardes et pouvoir y accéder plus rapidement pour satisfaire les exigences actuelles de continuité d’activité, disponibilité, protection des données et conformité réglementaire. Dans cette ère de croissance effrénée, les cibles sur bande hors site et autres approches traditionnelles sont simplement dépassées.


Tous les Livres Blancs
Derniers commentaires
Karen Dova, la PDG de l'entreprise norvégienne No Isolation, devant un écran Komp destiné principalement aux personnes âgées, le 7 avril 2020 à OsloVeuf, Per Leif Rolid vit seul dans sa ferme, à deux heures de route d'Oslo. Un sentiment d'isolement accentué par la pandémie de Covid-19 mais que le vieillard parvient à briser grâce à un simple écran qui lui permet d'être en ligne sans la moindre compétence numérique. [Lire la dépêche...]

Le logo du service de vidéo à la demande de Disney, Disney+La plateforme de vidéo en streaming Disney+ compte désormais 50 millions d'abonnés payants dans le monde, cinq mois après son lancement aux Etats-Unis et deux semaines après son arrivée en Europe. [Lire la dépêche...]

L'application Snapchat semblait en panne dans certaines régions mercredi, de nombreux utilisateurs européens et américains se plaignant sur Twitter de problèmes pour se connecter ou pour publier des photosSnapchat a annoncé mercredi avoir réparé l'application après une panne qui a affecté de nombreux utilisateurs européens et américains quelques heures plus tôt. [Lire la dépêche...]

Des passants dans les rues de Milan le 28 février 2020, avant le confinementUtiliser les données de nos téléphones pour lutter contre le coronavirus, tout en évitant les atteintes aux libertés individuelles: le gouvernement français planche sur ce sujet épineux avec un projet d'application mobile pour "identifier les chaînes de transmission", sur "la base du volontariat". [Lire la dépêche...]

UN client dans un supermarché à Nanterre consulte son téléphone le 27 mars 2020La France travaille au développement d'une application sur smartphone, utilisable "sur la base du volontariat" pour identifier les personnes ayant été contact avec une personne infectée par le coronavirus, ont affirmé le ministre de la Santé Olivier Véran et le secrétaire d'Etat au Numérique Cédric O. [Lire la dépêche...]

Le fondateur et patron de Twitter, Jack Dorsey, a annoncé mardi qu'il allait donner 1 milliard de dollars pour participer à la lutte contre la pandémie de coronavirus. [Lire la dépêche...]

Les utilisateurs de WhatsApp ne pourront plus transférer des messages viraux qu'à un seul contact à la fois, pour limiter la circulation des infoxFacebook a annoncé de nouvelles mesures mardi pour lutter contre la désinformation sur sa messagerie WhatsApp, plus confidentielle et donc plus difficile à réguler, alors que les fausses rumeurs sur le coronavirus - dont on prétend qu'il serait causé par la 5G ou soigné par le vinaigre - continuent de se répandre. [Lire la dépêche...]

Les utilisateurs de WhatsApp ne pourront plus transférer des messages viraux qu'à un seul contact à la fois, pour limiter la circulation des infoxFacebook a annoncé mardi que les utilisateurs de WhatsApp ne pourraient plus transférer des messages viraux qu'à un seul contact à la fois, pour limiter la circulation des infox. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

READY FOR IT

La première édition de Ready For IT se déroule du 25 au 27 mai 2020 à Monaco (Grimaldi Forum) : conférences, keynotes, ateliers et rendez-vous one-to-one. Organisé par DG Consultants.

BIG DATA

Conférences et exposition sur le Big Data les 27 et 28 mai 2020 à Paris, Palais des Congrès de la Porte Maillot. Organisé par Corp Agency.

RSS
Voir tout l'AgendaIT
0123movie