Posté le décembre 16, 2022 à 7:00

LE DÉPARTEMENT DE LA JUSTICE DES ÉTATS-UNIS ANNONCE LA SAISIE DE 48 DOMAINES OFFRANT DES SERVICES DE DÉNI DE SERVICE DISTRIBUÉ (DDOS)

Mercredi, le Département de la justice des États-Unis (DoJ) a annoncé qu’il avait saisi 48 domaines offrant des services liés à la conduite d’attaques par déni de service distribué (DDoS) pour le compte d’autres acteurs malveillants. La saisie de ces domaines a réduit la barrière à l’entrée pour mener ces activités malveillantes.

Les États-Unis saisissent 48 domaines

Le DoJ a également inculpé six suspects associés à ces domaines. Les personnes inculpées sont Angela Manuel Colon Jr, Cory Anthony Palmer, Jeremiah Sam Evans Miller, John M. Dobbs, Joshua Laing et Shamar Shattock. Ils sont accusés d’être impliqués dans l’opération.

Le DoJ a publié un communiqué de presse indiquant que le site web permettait d’effectuer des paiements pour permettre à des personnes de lancer de fortes attaques DDoS qui inondent les ordinateurs d’un trafic important, rendant impossible l’accès de l’utilisateur à son réseau. Les attaques DDoS sont généralement menées dans le cadre de campagnes de ransomware.

Dans sa déclaration, le DoJ note que ces sites web « permettaient à des utilisateurs payants de lancer de puissantes attaques par déni de service distribué, ou DDoS, qui inondent d’informations les ordinateurs ciblés et les empêchent d’accéder à l’internet ».

Les six personnes inculpées dans cette affaire sont accusées d’un large éventail de délits, allant de l’exécution de services de démarrage. Parmi les services qu’ils exploitaient figurent Astrostress[.]com, Booter[.]sx, IPStresser[.] com, RoyalStresser[.] com, SecurityTeam[.] io et TrueSecurityServices[.]io.

Les personnes inculpées sont également accusées d’avoir violé la loi sur la fraude et les abus informatiques. Les actions menées par l’intermédiaire de ces sites Web ont causé un préjudice important à des particuliers et à des entreprises.

Ces sites web prétendent offrir des services de test pour évaluer la résilience de l’infrastructure web du client payant. Cependant, ces sites n’ont jamais offert lesdits services ; ils ont plutôt été utilisés pour déployer des attaques DDoS pour le compte d’autres acteurs de la menace.

Le DoJ a par ailleurs estimé que ces attaques ont touché des millions d’individus. Les documents judiciaires montrent que plus d’un million d’utilisateurs enregistrés qui avaient déployé IPStresser[.]com avaient déjà mené ou tenté de mener des attaques DDoS. Le rapport note que plus de 30 millions d’attaques DDoS ont été menées par les utilisateurs enregistrés d’IPStresser[.]com entre 2014 et 2022.

Le FBI (Federal Bureau of Investigations) Américain a analysé les communications entre les administrateurs du site de booter et leurs clients. Les enquêtes ont révélé que les services étaient payés à l’aide de cryptomonnaies. Après qu’un client ait effectué le paiement, les administrateurs du site booter pouvaient les mettre en relation avec le booster qu’ils pouvaient utiliser pour mener les attaques DDoS.

La déclaration du FBI indique que les acteurs malveillants utilisaient des services booter et stresser reconnus pour mener les attaques DDoS de manière pratique. Cela permettait aux acteurs de la menace d’effectuer des paiements pour un réseau existant d’appareils infectés au lieu de créer leurs propres appareils infectés. L’agence gouvernementale a également indiqué que les acteurs malveillants ont pu choisir cette stratégie car elle permettait de dissimuler les détails de toute activité DDoS.

Ce n’est pas la première fois que les forces de l’ordre saisissent des domaines

Ce n’est pas la première fois que le DoJ et le FBI saisissent des domaines liés à des campagnes malveillantes. En décembre 2018, les deux agences gouvernementales ont pris des mesures similaires en saisissant 15 domaines qui faisaient la publicité de plateformes d’attaques informatiques telles que Booter[.]ninja, Critical-boot[.]com, downthem[.]org, quantumstress[.]net, RageBooter[.]com et Vbooter[.]org.

Le avril 2018, Europol a mené une enquête qui a conduit à l’interruption des services proposés par Webstresser[.]org. Cette dernière était une plateforme qui permettait aux utilisateurs de s’inscrire et d’effectuer un léger paiement d’à peine 15 € chaque mois. Les utilisateurs effectuaient ce paiement pour louer des services qui étaient ensuite utilisés pour lancer des attaques DDoS visant des banques, des secteurs de jeux et des gouvernements.

La saisie de domaines liés à des campagnes malveillantes s’inscrit dans le cadre d’une opération conjointe baptisée « PowerOFF ». L’opération est menée en collaboration avec les autorités basées au Royaume-Uni, en Allemagne, aux Pays-Bas, en Pologne et à Europol. L’objectif de ces attaques est de démanteler les infrastructures DDoS malveillantes à l’échelle mondiale.

Les efforts déployés par les organismes mondiaux chargés de l’application de la loi pour arrêter ces acteurs malveillants de la menace utilisant le domaine ont permis d’en mettre certains hors d’état de nuire, mais les attaques DDoS sont restées largement élevées au cours de l’année écoulée. Certains des groupes de hackers les plus notoires ont lancé de multiples attaques DDoS visant des agences et des institutions gouvernementales importantes.