Le chercheur en sécurité Brian Krebs a mené des investigations pour découvrir l’identité de l’auteur du malware Mirai qui serait Jha Paras, président de ProTraf Solutions spécialisé dans les solutions anti-DDoS. (crédit : D.R.)

Brian Krebs, talentueux chercheur dans le domaine de la sécurité dont la réputation – et le sérieux – n’ont jamais été démentis, est-il parvenu à découvrir la véritable identité d’Anna-Senpai ? Sous ce pseudonyme se cache la personne à l’origine de Mirai, l’un des pires malware de ces dernières années. Découvert en octobre dernier, il a permis à des pirates de mener des séries d’attaques DDoS aussi massives que minutieuses dont celle qui a mis à plat le gestionnaire de noms de domaine américain Dyn. Après un gros travail d’enquête, Brian Krebs serait ainsi parvenu à découvrir qui se cache derrière le malware Mirai. Ses recherches l’ont ainsi amenées à soupçonner Jha Paras, président de la société ProTraf Solutions qui propose des services et des appliances de protection réseau et d’infrastructure.

Comment Brian Krebs en est-il arrivé à soupçonner Jha Paras d’être à l’origine du malware Mirai ? Le chercheur l’explique dans une – très – longue histoire publiée sur son blog. « J’ai voulu guider les lecteurs au travers de mon processus de découverte qui m’a pris des mois à démêler », a indiqué le chercheur. Revenant sur l’origine de sa découverte, Brian Krebs raconte qu’en 2014 un groupe de pirates agissant sous la bannière « Lelddos » s’était fait une spécialité de mener de larges attaques pour mettre KO des sites web, le plus souvent des serveurs web hébergeant Minecraft, le jeu vidéo très populaire, racheté depuis par Microsoft, et pouvant être joué depuis n’importe quel terminal relié à Internet. « Un serveur Minecraft avec plus de mille joueurs connectés chaque jour peut facilement rapporter à ses propriétaires jusqu’à 50 000 dollars par mois », explique Brian Krebs. Une manne financière qui n’a pas échappée au cybergang Lelddos qui savait qu’en visant un tel serveur, son propriétaire ferait tout pour éviter qu’il tombe et de voir partir les joueurs vers d’autres serveurs.

Arbre des relations entre les différents protagonistes de l’affaire Mirai décortiquée par le chercheur en sécurité Brian Krebs. (crédit : D.R.)

Une attaque DDoS de 620 Gbit/s contre le site de Brian Krebs

En juin 2014, la société californienne ProxyPipe présidée par Robert Coelho spécialisée dans la protection des serveurs Minecraft est touchée par une attaque DDoS de 300 gigabits/s lancée par Lelddos. Certains de ses clients font savoir mi-2015 qu’ils ont été attaqués par un botnet constitué de terminaux IoT infectés par le malware Qbot. Et Robert Coelho d’indiquer à l’époque que ces attaques ont été précédées d’une menace émanant d’un certain Christopher CJ Sculti Jr, propriétaire et unique employé d’une autre société spécialisée dans la protection contre les attaques DDoS appellée Datawagon. Cette dernière, qui cherche également à attirer les propriétaires de serveurs Minecraft, héberge ses serveurs non pas chez elle, mais chez un autre fournisseur ProTraf Solutions. D’après Robert Coelho, ProTraf essayait alors d’éloigner les plus grands clients Minecraft de ProxyPipe. A partir de ce moment, la guerre entre ProxyPipe et ProTraf est déclarée. Une bataille que suit de près Krian Krebs qui reste en contact aussi bien avec Robert Coelho que Christopher CJ Sculti Jr, ce dernier n’ayant pas manqué de lui pourrir la vie en procédant à une attaque DDoS de 620 Gbit/s sur son site. D’après Robert Coelho, les principaux membres du cybergang Lelddos sont Christopher CJ Sculti Jr et également les membres de ProTraf.

L’attaque qui a visée ProxyPipe coïncide avec le piratage d’une foule d’adresses Internet détenues par FastReturn, un hébergeur cloud. Dyn, qui veille à garantir le bon adressage Internet aux bonnes entreprises, a conformé le timing de ce piratage décrit par Robert Coelho. Quelques mois plus tard, le propriétaire de FastReturn, Ammar Zuberi, arrive en tant que développeur chez ProTraf qui transfère la majorité des adresses Internet assignées chez FastReturn vers ProTraf. Ce dernier a indiqué à Brian Krebs ne pas être impliqué dans Lelddos tout en reconnaissant l’attaque de ProxyPipe. D’après Zuberi, Christopher CJ Sculti Jr était un membre de Lelddos de même que les co-propriétaires de ProTraf. A savoir tout d’abord Josiah White, auteur principal du malware Bashlite/Qbot comme il l’a raconté à Brian Krebs, et dont le pseudonyme est LiteSpeed. Si Josiah White a admis avoir écrit des composants de ce malware, il prétend n’avoir jamais eu l’intention de vendre ce code, mais qu’il a été forcé à le faire par un certain « Vypor »qui l’a trahi.

Une enquête du FBI dans les tuyaux

L’autre co-propriétaire de ProTraf n’est autre que Paras Jha. Maitrisant C#, Java, Golang, C, C++, PHP, x86 ASM ainsi que Javascript and HTML/CSS, Paras Jha a également une grande expérience des serveurs Minecraft, ayant travaillé pendant plusieurs années pour Minetime, l’un des plus populaires serveurs Minecraft. Coïncidence troublante, ce CV ressemble à s’y méprendre à celui mis en avant dans HackForums par le fameux Anna-Senpai. Autre fait troublant repéré par Brian Krebs : le logiciel malveillant utilisé pour contrôler le botnet Mirai est codé en Golang. Un langage de programmation exotique maitrisé à la fois par Paras Jha et Anna-Senpai… En fouillant encore plus dans l’histoire de Paras Jha, le chercheur en sécurité découvre que son père a enregistré en octobre 2013 le domaine parasjha.info, hébergeant des dizaines de forums dédiés à la programmation et aussi à Minecraft mais également du code développé par Paras Jha pour open sourcer des projets web centrés sur du code public, qui en profite pour emprunter un autre pseudonyme, dreadiscool. A cette époque, ce dernier fait état de sa grande frustration de voir des attaques DDoS cibler ses serveurs Minecraft, préférant alors se tourner vers des moyens de lutter contre ces attaques.

Le 28 septembre, Anna-Senpai en personne a joint le président de ProxyPipe, Robert Coelho, par Skype dont Brian Krebs a obtenu une copie de l’échange. Anna-Senpai explique à Robert Coelho qu’il n’a rien de personnel contre ProxyPipe mais qu’il s’agit juste de business. Le manque à gagner pour ProxyPipe est évalué entre 400 et 500 000 dollars. Quelque temps plus tard, un collaborateur de M. Coelho se rend compte qu’une partie du code de Mirai ressemble à s’y méprendre à celui que dreadiscool a posté sur son compte GhitHub. Le lien entre Anna-Senpai, dreadiscool et Paras Jha se fait alors de plus en plus ténu. Les trois identités ne feraient qu’une. Après la découverte d’autres coïncidences et faits troublants détaillés sur le site de Brian Krebs, resserrant encore un peu plus l’étau sur Paras Jha, une confession d’Ammar Zuberi, bras droit de ce dernier, finit d’enfoncer le clou : « Quand j’ai vu que le code de Mirai a été divulgué sur le domaine Namecentral, j’ai directement demandé à Paras si c’était lui. Il a souri et a répondu oui », a expliqué Ammar Zuberi à Brian Krebs. « Puis il m’a dit qu’il avait récemment entendu parler qu’un agent du FBI enquêtait sur Mirai et m’a montré quelques textos entre lui et l’agent. Il était très fier de lui-même et se vantait d’avoir conduit le FBI sur un beau terrain de chasse. »