Serveur minecraft

Le pirate qui a détruit un pays – Monter un serveur MineCraft

Le 20 décembre 2019 - 35 minutes de lecture

(Bloomberg Businessweek) – L'attaque contre le Libéria a commencé en octobre 2016. Plus d'un demi-million de caméras de sécurité dans le monde ont tenté de se connecter à une poignée de serveurs utilisés par Lonestar Cell MTN, un opérateur de téléphonie mobile local, et le réseau de Lonestar était submergé. L'accès Internet de ses 1,5 million de clients a ralenti, puis s'est arrêté.

Le terme technique pour ce type d'agression est le déni de service distribué, ou DDoS. Brutale mais efficace, une attaque DDoS utilise une armée de machines réquisitionnées, appelées botnet, pour se connecter simultanément à un seul point en ligne. Ce botnet, cependant, était le plus grand jamais vu ailleurs, et encore moins au Libéria, l'un des pays les plus pauvres d'Afrique. Le résultat était similaire à ce qui se passerait si 500 000 voitures supplémentaires rejoignaient le New Jersey Turnpike un matin aux heures de pointe. Alors que la plupart des attaques DDoS ne durent que quelques instants, l'assaut contre Lonestar a duré plusieurs jours. Et comme le Libéria n'a pratiquement pas de lignes fixes depuis la brutale guerre civile qui a pris fin en 2003, cela signifie que la moitié du pays a été coupée des transactions bancaires, les agriculteurs ne pouvaient pas vérifier les prix des récoltes et les étudiants ne pouvaient rien sur Google. Dans la capitale de Monrovia, le plus grand hôpital s'est déconnecté pendant environ une semaine. Les spécialistes des maladies infectieuses qui ont dû faire face à une épidémie mortelle d'Ebola ont perdu le contact avec les agences de santé internationales.

Eugene Nagbe, ministre libérien de l’information, était à Paris pour affaires au début de la crise. Il a eu du mal à rassembler une réponse, incapable d'accéder à son courrier électronique ou à une connexion téléphonique fiable. Puis sa carte bancaire a cessé de fonctionner. Le 8 novembre, alors que des centaines de milliers de personnes étaient toujours déconnectées, Nagbe est allé sur la radio française pour demander de l'aide. "L'ampleur de l'attaque nous dit que c'est un sujet de grave préoccupation, non seulement pour le Libéria mais pour la communauté mondiale qui est connectée à Internet", a-t-il déclaré. L'assaut a continué. Personne ne semblait savoir pourquoi, mais il y avait des spéculations que le hack était un test pour quelque chose de plus grand, peut-être même un acte de guerre.

Puis, le 27 novembre, Deutsche Telekom AG en Allemagne a commencé à recevoir des dizaines de milliers d'appels de ses clients en colère contre la panne de leur service Internet. Dans une usine de traitement des eaux à Cologne, les travailleurs ont remarqué que le système informatique était hors ligne et ont dû envoyer un technicien pour vérifier chaque pompe à la main. Deutsche Telekom a découvert qu'un gigantesque botnet, le même ciblant le Libéria, affectait ses routeurs. La société a conçu et distribué un correctif logiciel en quelques jours, mais l'audace et l'ampleur de l'incident ont convaincu au moins un chercheur en sécurité que la Russie ou la Chine étaient à blâmer.

Lorsque le botnet a supprimé les sites Web de deux banques britanniques, la National Crime Agency du Royaume-Uni s'est impliquée, tout comme le BKA allemand, avec le soutien du Federal Bureau of Investigation des États-Unis. La police allemande a identifié un nom d'utilisateur, ce qui a conduit à une adresse e-mail, qui a conduit à un compte Skype, qui a conduit à une page Facebook, qui appartenait à un Daniel Kaye, un citoyen britannique de 29 ans, maigre et pâle, qui avait été élevé en Israël et s'est décrit comme un chercheur indépendant en sécurité.

Lorsque Kaye s'est enregistré pour un vol vers Chypre à l'aéroport de Londres Luton dans la matinée du 22 février 2017, il a déclenché une alarme silencieuse liée à un mandat d'arrêt européen en son nom. Il était en ligne à la porte lorsque les flics sont arrivés. "C'est lui!", A déclaré un officier, et Kaye a senti des mains le saisir rudement sous les bras. Il a été emmené dans une pièce sécurisée, où les policiers l'ont fouillé et ont trouvé 10 000 $ dans une pile ordonnée de billets de 100 $. Ensuite, ils l'ont conduit au poste de police voisin et l'ont enfermé. C'était jusqu'à ce que Kaye, un diabétique sévère, commence à hocher la tête dans et hors de la conscience, puis s'effondre dans sa cellule. Il a été transporté d'urgence dans un hôpital voisin, où deux policiers ont monté la garde devant sa chambre au cas où leur prisonnier parviendrait à surmonter son coma hypoglycémique et à s'échapper.

Mais Kaye n'était ni un espion ni un cerveau criminel du Kremlin, selon les dossiers judiciaires, les rapports de police et les entretiens avec les forces de l'ordre, les responsables gouvernementaux, les associés de Kaye et Kaye lui-même. Il n'était qu'un mercenaire, et un fragile à cela.

En grandissant, Kaye a montré peu de signes qu'il serait un jour l'un des hackers les plus recherchés au monde. Né à Londres, il a déménagé en Israël avec sa mère à l'âge de 6 ans, lorsque ses parents ont divorcé. Dans la banlieue de Tel Aviv, il a appris l'hébreu, joué au basket-ball et collectionné des cartes de football. Un diagnostic de diabète à l'âge de 14 ans a limité sa vie sociale, mais Kaye avait alors trouvé un monde beaucoup plus vaste à explorer en ligne.

Il a appris lui-même à coder, dévorant tout le matériel de formation qu'il pouvait trouver, et est devenu un habitué des forums Web où les jeunes Israéliens se sont réunis pour se vanter de leurs exploits de piratage. Son alias était «espion[d]ir », selon Rotem Kerner, un ami en ligne de l'époque. Ils n'étaient «que des enfants curieux de la technologie et de la manière de la plier», explique Kerner.

En 2002, un utilisateur du forum appelé espion[d]ir a publié une capture d'écran du site Web d'une société d'ingénierie égyptienne, défigurée par le message: «Hacked By spy[D]ir! LOL C'était trop facile. »Au cours des quatre années suivantes, les sites Web du Moyen-Orient ont reçu un traitement similaire. La page d'accueil d'un bar de karaoké à Beyrouth était étiquetée avec une étoile de David. Lorsqu'un détaillant de cuir iranien a été touché, un espion[d]ir a partagé le crédit avec un groupe appelé IHFB: Les hackers israéliens ripostent. Kaye, un adolescent à l'époque, nie qu'il était espion[d]ir. Mais il admet avoir utilisé des alias en ligne, notamment Peter Parker, spdr et spdrman, toutes références à un autre jeune homme sans prétention avec des cadeaux cachés.

À ce moment-là, dit Kaye, il avait obtenu son diplôme d'études secondaires et avait décidé de renoncer à l'université en faveur d'un programme indépendant. Il était intelligent mais s'ennuyait facilement, et Internet semblait offrir des défis et des possibilités illimitées. Pourtant, traduire son amour des puzzles et du pwnage en concerts payants l'a rapidement amené dans un territoire plus sommaire.

De manière générale, les pirates appartiennent à l'une des deux variétés. Les pirates au chapeau noir sont des espions, des escrocs et des anarchistes. Les chapeaux blancs piratent légalement, souvent pour tester et améliorer les défenses d'un client. Et puis il y a les chapeaux gris, qui ne sont pas des agents du chaos comme les chapeaux noirs mais qui ne suivent pas non plus les codes éthiques stricts des chapeaux blancs. "Un chapeau gris vient de dire:" Faites le travail et vous êtes payé "", explique Theresa Payton, ancienne directrice de l'information à la Maison Blanche qui dirige maintenant Fortalice Solutions LLC, une société de conseil en cybersécurité. "Ils n'ont pas de livre de règles."

Kaye a habité ce monde quasi légal, travaillant pour des clients privés qui ont entendu parler de lui via des forums de piratage ou le bouche à oreille. Il a également postulé pour des emplois directs, mais son comportement a découragé les employeurs. Alors qu'il était réfléchi et doux, il y avait un «nuage noir autour de lui», explique Avi Weissman, fondateur d'une école de cybersécurité israélienne, qui a envisagé de travailler avec lui. Kaye était maladroit en personne, avec un strabisme prononcé et une façon de répondre aux questions qui donnaient l'impression qu'il cachait quelque chose.

Vers 2011, Kaye était finaliste pour un poste chez RSA Security LLC, une grande entreprise américaine de cyberdéfense ayant des bureaux en Israël, mais a été rejetée en raison de préoccupations non spécifiées concernant les ressources humaines. Kaye s'est dit que c'était pour le mieux. La vie d’entreprise ne lui plaisait pas. Maintenant dans la vingtaine, il a savouré sa liberté, travaillant toute la nuit quand il en avait besoin et traînant avec ses amis dans des bars quand il ne le faisait pas.

Ses aventures dans le monde souterrain en ligne comportaient des risques. En 2012, la police israélienne l'a interrogé dans le cadre d'une enquête sur une connaissance à chapeau gris. Kaye a été libéré sans inculpation. Cette année-là, il décide de déménager à Londres. Il venait de proposer à sa petite amie, un ancien administrateur d'université qui a déménagé en Israël d'être avec lui. Elle voulait poursuivre sa carrière au Royaume-Uni et il voulait un nouveau départ.

Anthony Zboralski, un hacker devenu entrepreneur, a rencontré Kaye lors d'une soirée dans l'ouest de Londres en 2014 et se souvient avoir ressenti sa frustration et son amertume. Kaye avait des compétences rares et précieuses, mais aucune entreprise honnête n'emploierait un pirate avec ses antécédents. Zboralski dit qu'il a essayé de trouver un travail légitime à Kaye, sans succès.

Quelques mois plus tard, Kaye a entendu un ami rentrer chez lui à propos d'un homme d'affaires offrant du travail indépendant à des personnes sur la scène du piratage israélienne. L'ami les a connectés et l'homme, qui s'appelait Avi, a appelé pour dire qu'il cherchait de l'aide pour la cybersécurité. Son entreprise était basée au Libéria.

En février 2012, une douzaine de jeunes femmes en talons ont gravi les marches d'un immeuble de bureaux à Monrovia, portant des sourires fixes et des ceintures colorées portant le nom de leur comté d'origine. Ils étaient candidats au concours de beauté Miss Liberia et avaient été invités au siège de Cellcom Liberia, le sponsor de l'événement et la deuxième plus grande entreprise de télécommunications du pays. À l'intérieur, Avishai "Avi" Marziano, directeur général de Cellcom, a pris le microphone. Israélien aux cheveux noirs gélifiés, Marziano était dynamique et avait un cadeau pour des promotions flashy. «Nous parlons tous du Libéria», a-t-il déclaré.

Cellcom appartenait à un groupe d'hommes d'affaires américains et israéliens aventureux dirigés par Yoram Cohen, un ancien avocat basé à Miami ayant des intérêts dans la région, et LR Group, une société d'investissement africaine dirigée par d'anciens pilotes de l'armée de l'air israélienne. Cellcom avait connu une croissance rapide depuis sa création en 2004, son logo rouge et blanc étant apposé dans les bidonvilles et les marchés du pays. Marziano, ingénieur de formation, semblait apprécier l'attention. Après avoir présenté à chaque espoir de Miss Libéria un nouveau téléphone et de nouvelles cartes SIM chargées de crédit, il a souri pour les caméras et a signé avec le slogan de son entreprise: "Avec Cellcom, vous êtes toujours n ° 1".

En termes de part de marché, Cellcom est resté fermement en deuxième position derrière Lonestar, un ancien monopole soutenu par l'un des plus grands groupes de télécommunications d'Afrique. Benoni Urey, figure de proue, président et copropriétaire de Lonestar, avait fait face à des sanctions internationales en raison de ses liens avec le seigneur de guerre emprisonné Charles Taylor. (Les sanctions ont été levées en 2014.) La participation de 40% d'Urey dans Lonestar a fait de lui l'homme le plus riche du Libéria, l'un des rares millionnaires de bonne foi du pays.

Partout en Afrique, l'utilisation du téléphone mobile montait en flèche, apportant la technologie à des endroits où peu de gens avaient accès à un ordinateur. Selon Nagbe, le ministre libérien de l'information, la rivalité entre Urey’s Lonestar et Marziano’s Cellcom a été «féroce» dès le départ. Lorsque Cellcom a annoncé qu'il donnerait aux clients Lonestar en panne un mois d'appels gratuits, une guerre des prix d'une décennie a suivi. Sous Marziano, Cellcom a donné 100 motos en 100 jours, a commandé une chanson pop pour des vidéos promotionnelles, a embauché des comédiens comme porte-parole et s'est moqué de Lonestar sans relâche dans ses publicités.

Urey s'est plaint à la Liberian Telecommunications Authority, ainsi qu'à la présidente Ellen Sirleaf, que les cadeaux de Cellcom étaient injustes, en vain. La part de marché de Cellcom a augmenté régulièrement. Lors de sa fête d'anniversaire de 10 ans en décembre 2014, réduite quelque peu en raison d'une épidémie mortelle d'Ebola, Marziano a déclaré aux invités que la phase de développement de l'entreprise était terminée. Il était maintenant temps de dominer. «Nous visons à être au sommet du marché des télécommunications en 2015», a-t-il déclaré.

Au moins une partie du plan de Marziano reposerait sur un homme qui n’aurait jamais mis les pieds au Libéria: Daniel Kaye. Le PDG et le pirate informatique se sont rencontrés pour la première fois à Londres vers 2014. Ils ont fait un appariement étrange. Marziano aimait citer les aphorismes de gestion de Henry Ford et passer des heures au gymnase, prendre des stéroïdes pour se faire extraire. Il a également participé à des concours de musculation, où il a posé pour des photos en slip à peine là. Kaye a fumé de l'herbe et a joué Skyrim, un jeu informatique d'épées et de sorcellerie. Même ainsi, ils ont réussi. Kaye a vu à Marziano un avenir plus stable avec des contrats à long terme ou peut-être un emploi à temps plein. Marziano a vu à Kaye quelqu'un qui pouvait résoudre des problèmes, sans poser de questions. Tu vas traiter directement avec moi, a-t-il dit à Kaye.

L'une des premières tâches de Kaye a été de sécuriser les systèmes de la société sœur de Cellcom en Guinée voisine. Kaye a trouvé un outil qui pourrait crypter les données de Cellcom sur commande au cas où l'instabilité politique menacerait ses opérations. Pour cela, Marziano a payé 50 000 $, plus plusieurs milliers de dollars de plus pour les tests de sécurité de routine. La prochaine affaire était beaucoup moins bénigne. Marziano a ordonné à Kaye de pirater le réseau de Lonestar pour rechercher des preuves de corruption ou d'autres fautes. Kaye n'a rien trouvé d'incriminant, alors il a téléchargé une base de données clients Lonestar et l'a envoyée à Marziano, qui semblait apprécier le subterfuge. "C'est comme un film dramatique", a-t-il dit au pirate.

En 2015, Kaye et Marziano ont discuté de l'utilisation des attaques DDoS pour ralentir le service Internet de Lonestar et irriter ses clients à changer de service. Kaye a commencé petit, en utilisant un site Web appelé "VDos Stresser" qui a bombardé d'autres sites avec du trafic moyennant des frais. Des messages qui ont fui d'une base de données VDos montrent une personne utilisant le nom «bestbuy», probablement Kaye ou un associé, posant des questions sur le service proposé. «J'ai besoin de beaucoup plus de puissance», a écrit bestbuy.

À ce jour, Kaye gagnait suffisamment de Cellcom et d'autres concerts pour déménager à Chypre, où il a loué un appartement avec piscine et vue sur la mer. S'il pouvait faire son travail de n'importe où avec une connexion Internet, pourquoi ne pas le faire depuis un endroit ensoleillé? Sa fiancée l'a rejoint.

L'avenir de Marziano était également prometteur. En janvier 2016, Orange SA, l'opérateur de téléphonie mobile français, a annoncé qu'il achetait Cellcom Liberia. Avec un chiffre d'affaires global d'environ 41 milliards d'euros (45,6 milliards de dollars), Orange est un géant détenu en partie par le gouvernement français. Les termes de l'accord et l'identité des vendeurs n'ont pas été révélés, mais cela signifierait un gros salaire pour Cohen et ses bailleurs de fonds. Orange a gardé Marziano comme consultant, mais il est resté PDG de Cellcom.

L'accord, cependant, n'a pas refroidi les hostilités entre Cellcom et Lonestar. Des semaines plus tard, dans un communiqué de presse qui a appelé Cohen par son nom, Lonestar a accusé Cellcom d'avoir envoyé des SMS illégalement à ses clients pour leur offrir sa dernière promotion. Un porte-parole de Cellcom a répondu: "Lonestar est un grand pleurnichard, déterminé à exploiter le peuple libérien."

La souche de logiciels malveillants connue sous le nom de Mirai est apparue pour la première fois en 2016. Nommée, probablement, d'après un personnage de dessin animé japonais, elle a été créée par des joueurs pour se mesurer à d'autres joueurs, en particulier ceux qui jouent Minecraft.

Mirai a recherché des webcams, des routeurs sans fil et d'autres appareils bon marché et mal défendus qui pourraient être détournés pour des attaques DDoS contre d'autres Minecraft joueurs. Il pourrait également rechercher de nouvelles cibles de façon semi-autonome, se répandant sans intervention humaine. À l'été 2016, le malware a doublé son nombre de machines infectées toutes les 76 minutes pour créer, en quelques jours, le plus grand botnet jamais enregistré.

Avant l'arrestation des étudiants américains qui ont écrit le code, ils l'ont partagé sur des forums de piratage, fournissant la base de dizaines de variantes. Kaye, qui était à la recherche d'un botnet surpuissant, pensait que c'était peut-être exactement ce dont il avait besoin. Il a modifié le code pour exploiter une vulnérabilité dans les caméras de sécurité de fabrication chinoise, s'est assuré que son logiciel malveillant bloquait d'autres formes de Mirai afin que personne ne puisse prendre le contrôle de son botnet, puis, en septembre 2016, a rendu sa création lâche.

"Si cela fonctionne, je devrais avoir accès à cinq millions de caméras que je peux utiliser", a déclaré Kaye à Marziano en utilisant un service de messagerie crypté. Marziano a accepté de lui verser 10 000 $ par mois pour le «projet». Plus tard en septembre, il a demandé à Kaye de tester le botnet sur le site Web d'un concurrent proposant des appels internationaux bon marché – le site, a déclaré Marziano, «tuait mon trafic international» à Cellcom.

Même Kaye ne savait pas exactement la taille de son botnet, il l'a donc testé sur un site qui mesurait le trafic. Visualisée dans un graphique, sa puissance était impressionnante: elle pouvait diriger environ 500 gigaoctets de données, ce qui équivaut à peu près au téléchargement Avengers: Fin de partie 50 fois en ultra haute définition – par seconde. Sa cible n’avait aucune chance. L'infrastructure Internet du Libéria était déjà fragile, dépendante d'un seul câble sous-marin à fibre optique pour se connecter au monde extérieur. Face à un demi-million de machines envoyant des données en une seule fois, les serveurs de Lonestar cesseraient simplement de fonctionner. Kaye a tiré la gâchette encore et encore, au moins 266 fois d'octobre 2016 à février 2017. Il est resté en contact avec l'un des analystes de Marziano pour surveiller l'impact au Libéria, en envoyant régulièrement des SMS pour demander comment le réseau de Lonestar fonctionnait. "Presque mort", a déclaré l'analyste un jour de novembre. "Vraiment? Ça sonne bien », a répondu Kaye.

La société de Marziano prétendait depuis des années être le réseau le plus rapide du Libéria. Maintenant, c'était indéniable. Le 9 novembre, Marziano, apparemment satisfait, a envoyé une photo d'une coupure de presse à Kaye. "Après une cyberattaque paralysante: le Libéria demande l'aide des États-Unis et du Royaume-Uni", lit-on dans le titre.

Kaye, cependant, était alarmé. Il avait supposé que personne ne se soucierait d'une entreprise au Libéria et n'avait pas fait beaucoup d'efforts pour couvrir ses traces. Les chercheurs en sécurité avaient également remarqué la puissance et la concentration inhabituelles de son botnet. Ils l'ont baptisé Mirai # 14. Marcus Hutchins, un analyste britannique de la sécurité connu sous le nom de MalwareTech, a créé un compte Twitter pour enregistrer les cibles du botnet. Peu de temps après, l'une des variantes de Mirai a tourné son pouvoir sur le site Web de Hutchins, en l'assommant. Il a pris l'attaque comme un avertissement pour reculer. Lorsque Kevin Beaumont, un autre chercheur britannique, a tweeté sur le botnet, il a commencé à envoyer des messages menaçants, comme «shadows.kill» et «kevin.lies.in.fear». (Kaye nie avoir ciblé Hutchins ou Beaumont.) contrôle », a écrit Kaye à un ami en Israël.

Ensuite, l'épidémie s'est propagée en Allemagne. Chaque caméra infectée par Mirai # 14 tendait constamment la main vers d'autres appareils, essayant de les faire télécharger le logiciel. Au lieu de rejoindre le botnet, les routeurs de Deutsche Telekom se sont simplement plantés. Il n'est pas clair si Kaye essayait délibérément d'étendre son botnet en ciblant les appareils allemands, mais il n'avait certainement pas l'intention qu'ils cessent de fonctionner. Contrairement au Libéria, qui ne disposait même pas de lois fondamentales sur les délits informatiques, les forces de police allemandes disposaient d’une formidable division technologique. Je suis f — ed, pensa Kaye. Le 27 novembre, son ami en Israël a envoyé un message pour lui demander: «Que se passe-t-il?» Kaye a répondu: «J'ai brisé Internet et j'ai peur de la mort, mais sinon, tout est un gros doris.»

Afin de détourner l'attention de ce qu'il avait fait au Libéria, Kaye a décidé de partager son botnet, tout comme les créateurs originaux de Mirai l'avaient fait. En travaillant avec des contacts de forums de piratage, il a envoyé des messages de spam offrant un accès en échange de Bitcoin, avec des prix allant de 2000 $ à 20 000 $. Certains de ses premiers clients étaient des joueurs, qui l'ont utilisé contre des rivaux. D'autres avaient des objectifs plus ambitieux.

Le 11 janvier 2017, des employés de Lloyds Bank Plc, au Royaume-Uni, ont reçu des courriels d'une personne utilisant l'alias «Ibrham Sahil». Le site Web de Lloyds serait mis hors ligne, selon les messages, à moins que la banque ne paie des «honoraires de consultation» dans Bitcoin, d'une valeur d'environ 75 000 £ (90 000 $), passant à 150 000 £ après deux jours. Lloyds n'a pas payé. Vingt minutes plus tard, son site Web a été perturbé par la première des 18 attaques DDoS en 19 heures.

Sahil a contacté Barclays Bank Plc le même jour. Ce qui est arrivé à Lloyds n'était pas un problème, a écrit Sahil. Barclays subirait le même sort à moins de payer 75 Bitcoin dans les 18 heures. "Ne nous faites pas gagner notre argent en utilisant des options PUT sur le cours de l'action Barclays", a écrit Sahil, menaçant de faire baisser le cours de l'action de la banque à moins qu'il ne se conforme. Ce n'était pas le cas, et le site Web de Barclays a été visité quelques jours plus tard. Les deux prêteurs ont dépensé environ 150 000 £ chacun pour atténuer les effets des attaques et maintenir leurs sites opérationnels.

Hutchins, le chercheur britannique surveillant Mirai # 14 et d'autres variantes, a vu la situation se dérouler. Son travail, travaillant pour une entreprise appelée Kryptos Logic, consistait à rechercher les logiciels malveillants les plus dangereux d'Internet (vers, bogues et virus), ce qu'il a fait de Devon dans le sud-ouest rural de l'Angleterre entre les voyages à la plage pour surfer. Il a retracé Mirai # 14 sur un serveur et a trouvé les coordonnées de l'opérateur, qui utilisait l'alias «popopret».

Il y avait peu de choses que Hutchins pouvait faire à distance, alors il décida de voir ce qui se passerait s'il demandait simplement à Popopret de s'arrêter. Il a composé un message faisant appel à la conscience du pirate. Comme preuve des conséquences réelles, il a joint des publications Twitter de clients bancaires bloqués sans accès à des fonds. À sa grande surprise, le pirate a répondu et semblait réceptif. Bien que Hutchins ne s'en rendait pas compte à l'époque, il communiquait avec Kaye – qui conservait le contrôle ultime du botnet même lorsqu'il le louait – soit directement, soit par l'intermédiaire d'un de ses associés.

Le lendemain, cependant, les sites Web des banques étaient toujours bombardés. "Wtf?", A déclaré Hutchins dans un message à popopret, qui a répondu qu'il était payé beaucoup d'argent par un client utilisant son botnet. Hutchins a essayé une approche différente. Les banques sont considérées comme des infrastructures essentielles au Royaume-Uni, a-t-il déclaré, et les protéger est une question de sécurité nationale. À moins que vous ne vouliez que les agences de renseignement vous poursuivent, a suggéré Hutchins, coupez le client. Cela semblait fonctionner. L'assaut contre les prêteurs britanniques a cessé. Les attaques contre le Libéria se sont toutefois poursuivies.

Quelques semaines après l'avertissement de Hutchins, Kaye a pris l'avion de Chypre à Londres pour rencontrer Marziano et récupérer son dernier paiement mensuel. Marziano a amené sa femme et ses jeunes enfants, et Kaye a amené sa fiancée pour le déjeuner dans un restaurant de tapas près de Piccadilly Circus. (Il n'y a aucune preuve que leurs familles étaient au courant d'actes répréhensibles.) Après avoir bu, Kaye a félicité Marziano pour l'accord d'Orange. Marziano a remis 10 000 $ en espèces, que Kaye a mis dans sa poche. Le PDG et le pirate se sont séparés comme amis.

Kaye est arrivé à l'aéroport de Luton pour son vol de retour à Chypre, et c'est là que la police l'a trouvé.

Après que Kaye se soit réveillé à l'hôpital, toujours groggy des effets du coma diabétique, les policiers l'ont emmené directement dans la salle d'entrevue du poste de police de Luton. Il était presque minuit quand ils ont commencé. "Je suis désolé si mes paroles sont un peu grossières et mes réponses un peu mélangées", a-t-il déclaré à ses interrogateurs, selon une transcription de la conversation. "Mon sucre est très élevé à ce stade."

Kaye a tout nié. Il a affirmé qu'il n'était pas derrière le botnet du Libéria, qu'il n'avait pas ordonné les attaques et qu'il ne connaissait pas les noms spdrman ou popopret. "Peut-être que je devrais commencer par mes antécédents?", A-t-il dit, expliquant qu'il était un consultant en sécurité et un "concepteur de solutions informatiques" qui étudiait les logiciels malveillants comme un passe-temps "pour rester vigilant". Il a dit qu'il aurait pu accéder aux serveurs contrôlant le Libéria. botnet pour la recherche, mais ne se souvenait pas quand, comment ou quel appareil il avait utilisé. Interrogé sur l'ordinateur portable crypté récupéré de ses bagages, Kaye a répondu qu'il ne pouvait pas y accéder car son mot de passe ne fonctionnait plus.

Après environ une semaine dans une prison britannique, Kaye a été extradé vers l'Allemagne pour faire face à des accusations de perturbation de Deutsche Telekom. Lorsqu'il a été interrogé dans un bureau du procureur, sa mémoire était tout d'abord aussi floue que pour la police britannique. Ensuite, le service de cryptographie du BKA a cassé son téléphone portable. Ils y ont trouvé des messages WhatsApp entre Kaye et ses amis hackers, des discussions sur une application de chat cryptée avec Marziano, une photo du type de caméra de sécurité utilisée dans le botnet du Libéria et une vidéo montrant quelqu'un utilisant le protocole Internet Telnet pour contrôler une grande botnet.

Face à ces preuves accablantes, Kaye a fait des aveux complets sur plusieurs jours en mai. Il a identifié Marziano comme la personne qui lui a ordonné d'attaquer le réseau Lonestar. "Le but était que l'attaque rende les clients de Lonestar tellement ennuyés par le service qu'ils ont changé pour le concurrent Cellcom", a déclaré Kaye au procureur. "Il n'y a pas beaucoup d'options au Libéria." Lorsque le procureur a constaté que 10 000 $ n'étaient pas beaucoup d'honoraires, Kaye a déclaré: "J'avais besoin d'argent parce que je voulais me marier." Il a ajouté: "J'avais aussi eu beaucoup à boire à ce moment-là. J'ai donc pris ce que je pouvais obtenir. »

Ce qui était arrivé à Deutsche Telekom était un accident, a déclaré Kaye, des dommages collatéraux alors que le botnet tentait de se propager. Le procureur l'a cru. Kaye a plaidé coupable de sabotage informatique et, le 28 juillet, a été condamné à une peine avec sursis.

En août, il a été renvoyé au Royaume-Uni, où la National Crime Agency a porté plainte contre lui un jour plus tard. "Il est un cybercriminel sophistiqué et doué en informatique", motivé par l'argent, a déclaré le procureur Russell Tyner lors de la première comparution de Kaye. «Il propose ses services à des tiers.» Il y avait en tout 12 chefs d'accusation, dont du chantage, du blanchiment d'argent et diverses infractions informatiques. Fait inhabituel, Kaye a été accusé de mettre des vies en danger en faisant un mauvais usage d'un ordinateur, en raison de l'impact de ses actions au Libéria. La peine maximale pour cette infraction était de 10 ans. La NCA voulait également épingler les attaques de Barclays et Lloyds contre Kaye.

Pour l'année suivante, l'équipe juridique de Kaye a négocié avec les procureurs. Finalement, il a été libéré sous caution et a emménagé avec son père, incapable de quitter le pays. En décembre 2018, il a accepté de plaider coupable aux chefs d'accusation relatifs à l'attaque contre le Libéria. Les procureurs ont abandonné les charges liées aux banques britanniques – Kaye a nié qu'il était derrière eux et la NCA n'avait aucune preuve pour prouver le contraire.

Il a été condamné le 11 janvier 2019 à Blackfriars Crown Court dans le sud de Londres. Kaye, vêtue d'une chemise blanche plus habillée que d'habitude, avait l'air moins provocante que lors des audiences précédentes. Sa mère était venue d’Israël et sa fiancée de Chypre.

"Il n'y a pas de directives de détermination de la peine pour ce type d'infraction", a déclaré le procureur Robin Sellers lors du début de l'audience. Il a cité une déclaration de victime, envoyée par un dirigeant de Lonestar, estimant ses pertes à des dizaines de millions de dollars.

L'avocat de Kaye, Jonathan Green, s'est opposé, affirmant que les chiffres n'étaient pas réalistes et que la couverture Internet du Libéria était inégale de toute façon. "Personne n'est mort", a-t-il dit. "Il s'agissait d'une fraude commerciale, et non d'une infraction pénale." Kaye est un "jeune homme très intelligent avec une puissante motivation pour comprendre comment les choses fonctionnent", a déclaré Green au juge Alexander Milne, ajoutant que son client avait récemment reçu des offres d'emploi de l'industrie de la sécurité. . «Le monde a besoin que M. Kaye soit du côté des anges.»

Le juge a ajourné pendant une demi-heure pour examiner la peine. Au sein de l'équipe juridique de Kaye, l'ambiance était optimiste. Un de ses avocats, lui a demandé s’il pouvait s’échapper de prison, a répondu: «Tout est possible.» Même la mère de Kaye souriait.

À 16 heures, le juge est revenu devant le tribunal pour informer Kaye de son sort. L'attaque contre le Libéria était "une attaque cynique et financièrement dirigée contre une entreprise commerciale légitime", a déclaré le juge en lisant l'écran de son ordinateur portable. «Je vous condamne à 32 mois de prison. J'ai peur de ne pas pouvoir, dans ces circonstances, suspendre la peine. »Kaye, assis sur le quai, a essuyé des larmes avec sa manche.

L'un des mystères persistants du piratage au Libéria est son timing. Lorsque Kaye, sur les instructions de Marziano, a posé son botnet sur Lonestar, Cellcom avait déjà été vendu à Orange, rapportant une manne de 132 millions de dollars à ses propriétaires. Marziano était juste un consultant pour la société fusionnée à ce moment-là, alors pourquoi prendre un si gros risque?

Marziano n'a rien dit publiquement depuis qu'il a quitté Orange Cellcom en 2017. Il a été arrêté par la police britannique en août, au moment même où Kaye faisait sa première apparition dans une salle d'audience de Londres, et relâché sans être inculpé. L'enquête de la NCA est, techniquement, en cours. Marziano n'a pas répondu aux tentatives répétées de le contacter par courrier, e-mail, LinkedIn ou l'Institut éthiopien de formation maritime, où il a été inscrit en tant que manager en 2017. À son ancienne adresse en Israël, son ex-femme affirme qu'elle a aucune idée où il est.

En 2018, Lonestar Cell MTN a déposé une plainte contre Orange et Cellcom à Londres. Kaye et Marziano sont également cités comme défendeurs dans le procès, qui n’a pas encore atteint le tribunal. "En tant que conséquence escomptée des attaques DDoS, Lonestar a subi et continue de subir une perte substantielle", selon les documents de la réclamation. Orange a une «responsabilité du fait d'autrui», même s'il ne savait pas ce que faisaient les conspirateurs, en raison des lois rendant les entreprises responsables de la conduite des employés. Orange a déclaré dans un communiqué qu'il ne savait rien des activités de Kaye jusqu'à ce qu'il reçoive la plainte légale de Lonestar en 2018. «Orange condamne fermement ces actions et a pris toutes les mesures nécessaires pour assurer la pleine conformité de toutes ses opérations avec l'éthique rigoureuse du groupe. », a déclaré la société.

Au Libéria, beaucoup de gens pensent que les attaques de Lonestar étaient motivées par la politique et non par le profit. Urey, qui n’est plus président de Lonestar mais qui est toujours un actionnaire important, garde une bouteille de whisky Johnnie Walker Blue Label sur son bureau. «Je le garde pour le jour où je deviens président», dit-il dans son bureau à Monrovia. (Il a couru sans succès en 2017.)

Pendant des années, Cellcom a publiquement soutenu le parti de l'un des opposants d'Urey, l'ancien président Sirleaf, dont le gouvernement était au pouvoir de 2006 à 2018. Une attaque contre la société d'Urey, selon la théorie, aurait pu viser à l'affaiblir, lui et son parti libérien. . Urey lui-même accuse l'équipe de gestion américano-israélienne qui était propriétaire de Cellcom. "Un citoyen américain a lancé une attaque contre ce pays, et rien n'a été fait à ce sujet", dit-il. Les représentants de Cohen, de ses sociétés et du groupe LR n'ont pas répondu aux demandes de commentaires. Dans les documents de défense de la poursuite Lonestar, Cellcom a déclaré qu’il n’avait aucune connaissance ni supervision des activités de Marziano après la vente à Orange et n’en avait pas profité.

Il n'y a vraiment rien qui empêche d'autres pirates informatiques à utiliser DDoS pour l'espionnage d'entreprise ou le chaos. Il s’est avéré être un moyen bon marché et efficace d’entraver un rival. Depuis l'attaque du Libéria, le nombre d'appareils connectés à Internet a continué de croître rapidement, notamment les voitures, les implants médicaux et même les ruches. Bien que la technologie pour se défendre contre les botnets ait également progressé, elle n'a pas encore été testée par un incident de type Mirai de nouvelle génération, selon Payton, l'ancien responsable de la sécurité en ligne de la Maison Blanche. Si cela se produit, il n'est pas clair comment ou si ces défenses tiendront, dit-elle. "Nous ne le saurons pas tant que nous n'y serons pas."

Kaye a purgé la première partie de sa peine dans plusieurs prisons de Londres avant de déménager à Belmarsh, un établissement à sécurité maximale qui abrite des violeurs, des meurtriers et des terroristes. Son surnom, Hellmarsh, est griffonné sur les murs à l'intérieur.

In a series of interviews at the Belmarsh visiting room, Kaye, now 31, has little to say about his life or work and denies being behind most of the online identities that have been linked to him. He can’t even explain his use of Spider-Man references. It was random, he says.

There may be good reasons for Kaye to keep quiet. Some of his alleged aliases have been linked to other offenses. Journalist Brian Krebs, who runs the news website KrebsOnSecurity, has reported that bestbuy and popopret were observed on black-market hacking forums selling GovRAT, a virus used to target U.S. government institutions. Bestbuy and popopret were also users of Hell, an infamous darkweb forum popular with black-hat hackers (its slogan: “F— heaven, hell is hot”). Kaye might be both bestbuy and popopret, as some police officials believe, or neither of them. They might be different people, part of his circle of criminal hackers. Kaye denies being behind either alias, although he admits to using bestbuy’s name to cover his tracks.

Kaye says he hasn’t spoken to Marziano since their lunch in London just before his arrest. When Kaye is released in early 2020, he’ll face court-mandated restrictions limiting his access to phones, computers, and encryption software, though he hopes to continue his career in online security. Until then, he spends all day in the prison kitchen, chopping vegetables. The more controlled environment allows him to avoid contact with Belmarsh’s more frightening residents. Does he have any regrets? Of course, he says, looking around at the tattooed inmates in the visiting room. “I can’t believe I ended up here.” —With Leanne de Bassompierre, Jonathan Levin, Yaacov Benmeleh, and Jordan Robertson

To contact the editor responsible for this story: Jeff Muskus at [email protected], Matthew Campbell

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.