Notre contribution à la communauté de la sécurité de l'information et des systèmes d'information

Euratechnologies - CoRIIN 2017

Site Euratechnologies, Crédit Photo : RMA

Les collaborateurs de CONIX ont bravé le froid de Lille en allant assister à la conférence CoRIIN 2017, hébergée par Euratechnologies.

Darkode – Analyse de la structure relationnelle d’un réseau d’élite, Benoît Dupont (Université de Montréal)
Professeur de criminologie

Mr Dupont présente ses travaux sur une analyse sociologique d’un forum de hackers ayant été démantelés par le FBI en 2015.
Ce forum était réputé comme un forum élitiste, fonctionnant sur invitation, avec un processus d’acceptation des nouveaux membres.
L’analyse de ce forum a été rendue possible grâce à diverses infiltrations puis la publication d’une grande partie de ses posts, notamment par Xylitol.

Le but d’un tel forum pour des personnes malveillantes est simple, répondre au problème suivant : Comment trouver des complices afin d’augmenter ses capacités opérationnelles ? En effet, dans un monde virtuel comme celui-là, il est très complexe de se reposer sur les moyens classiques de sociabilité (cafés, bars, prisons, enterrements, mariages etc.) communément utilisés par la pègre pour se réunir et évaluer la confiance que l’on peut accorder à un éventuel complice.

Ainsi, pour accéder à ce forum, une personne devait précédemment se faire « repérer » par un utilisateur actuel de Darkode (typiquement les administrateurs), puis passer la phase de « qualification » permettant d’évaluer les nouveaux membres.
Ensuite, un utilisateur peut avoir trois niveaux de privilèges :
– 0 : accès limité à la phase de qualification, niveau temporaire
– 1 : accès aux markets et autres parties du forum
– 2 : accès étendu pour les membres trustés

L’équipe de Benoît Dupont a analysé les données selon les axes suivants :
– comment arriver sur le forum et être accepté ?
– structure relationnelle de la communauté (sociale)
– compréhension des dynamiques de marché internes

Concernant la phase de qualification des nouveaux membres, il s’avère que 95% des « candidatures » sont acceptées, ce qui dénote d’une sélection faible une fois l’invitation acquise. Il semble que la dimension humaine (connaitre un membre) à plus de poids que les compétences techniques revendiquées. Concernant les compétences techniques, les 2 compétences les plus demandées sont la capacité à produire du code (pour 60%), puis la capacité à faire du reverse engineering (pour 12%), les autres disciplines traditionnelles de l’infosec sont très minoritaires.
Les aspirants sont également invités à expliquer ce qu’ils attendent de l’accès aux forums, notamment concernant la place de marché incluse, on dispose de données sur les choses prisées, arrivent ainsi principalement les rootkits et autres botnets, puis des outils liés aux malwares. Il est important de noter que très peu d’exploits et de 0day sont mentionnés, il semble que le volume de ce genre de chose soit en réalité faible.

Concernant la structure relationnelle du forum, il s’avère que les administrateurs sont les plus gros recruteurs, loin devant le reste des utilisateurs qui disposent tout de même de 2 invitations chacun.
La densité sociale du graphe construit à partir des relations est de 0.006, ce qui en fait une communauté peu résiliente et difficilement capable de se restructurer après une vague d’arrestations. Les diverses tentatives de reconstruction de Darkode après son démantèlement ont d’ailleurs échoué.

A propos des dynamiques de marché interne à Darkode, la plupart des choses échangées sur ce forum étaient des logiciels malveillants, ainsi, sur un peu moins de 500 comptes utilisateurs enregistrés, on retrouve divers auteurs de logiciels redoutés, tels que ZeuS, SpyEye, ou l’exploit kit BlackHole.
Un exemple de négociation a été expliqué par le conférencier, concernant les numéros de 140 000 cartes bancaires, le dommage estimé par le DoJ US sur ce genre de cas est de 70 millions de dollars. Le vendeur souhaitait vendre ces données à un prix de 70k£. Un acheteur remportera au final la vente avec une proposition à 3000$, très loin donc des dommages théoriques supposés.
Il s’avère que les vendeurs font face a diverses difficultés concernant les produits qu’ils vendent, notamment lorsqu’il s’agit de softwares. Ces difficultés sont dues à des questions de support, aux problèmes d’avant-vente et de relations commerciales.

Le sous-forum où sont gérés les contentieux est également révélateur, la plupart des contentieux concernent des sommes de seulement quelques centaines de dollars, on est loin des volumes imaginés.

https://www.cecyf.fr/activites/recherche-et-developpement/coriin-2017/

http://www.euratechnologies.com/

CoRIIN 2017 bannière

By | 2017-02-10T15:00:42+00:00 10/02/2017|Conférences|