Comment 8chan (ou "8kun") est revenu brièvement en ligne
Le successeur de 8chan, 8kun, a fait une brève apparition sur l’Internet public grâce à ce qui constitue une attaque sur l’infrastructure de routage Internet. Le serveur de noms de domaine du site, hébergé par un service appelé VanwaNet, a proposé une adresse Internet pour le site provenant d’un ensemble non attribué d’adresses appartenant à le centre de coordination du réseau RIPE, l’autorité régionale d’enregistrement sur Internet pour l’Europe et le Moyen-Orient. Et l’hôte du nouveau site, la société d’hébergement russe Media Land LLC, a annoncé un itinéraire menant de cette adresse au reste de l’Internet, permettant aux visiteurs d’accéder au site pendant un certain temps.
L’annonce d’adresse, faite avec le protocole BGP (Border Gateway Protocol), est connue dans le monde du routage comme « bogon »ou » Martian. « Cela se produit généralement lorsque des adresses réseau privées sont envoyées par erreur ou » annoncées « d’un réseau au reste d’Internet en raison d’une configuration de routeur incorrecte.
Mais parfois, ils détournent des adresses existantes, de manière accidentelle ou malveillante. Une « fuite » de BGP en novembre 2018 a perturbé les services Google et Spotify. En 2015, par exemple, l’équipe de piratage a utilisé une annonce de BGP pour aider la police italienne à reprendre le contrôle de l’infrastructure utilisée pour surveiller des cibles piratées. Et un fournisseur de réseau russe a fait des annonces BGP qui ont détourné le trafic vers des sites de services financiers en 2017.
Bien que 8kun.net ait été enregistré en septembre par l’intermédiaire de Tucows, le processus lui-même était géré par une société appelée N.T. Technology Inc., une société d’hébergement et un fournisseur de services d’enregistrement qui semble s’être assombri en août, à peu près au même moment où 8Chan était déconnecté. Le domaine pour N.T. La technologie a été enregistrée par Jim Watkins, le « propriétaire » de 8chan. Et plusieurs hôtes associés à 8chan, dans le domaine 8ch.net, ont été hébergés par N.T. La technologie
Aucun de N.T. Les serveurs technologiques semblent être accessibles. Les Compte Twitter associé à l’entreprise. (qui donne l’emplacement de Carson City, Nevada) est inactive depuis 2014. L’adresse donnée à la société sur son site Web maintenant mort était un centre de données Digital Real Estate situé à San Francisco et l’adresse de son siège social était celle d’une société d’enregistrement de sociétés et de bureaux à domicile virtuels à Reno, dans le Nevada. Le numéro de téléphone associé à l’adresse Reno dans les données d’enregistrement de domaine a été déconnecté. Un deuxième numéro (un numéro Comcast VoIP) est resté sans réponse. Mais le réseau de la société est toujours actif, basé sur Données des outils BGP de Hurricane Electric.
Essayer d’aller à l’épreuve des balles
Après que 8chan a perdu son logement en août à la suite du tir de masse d’El Paso, une grande partie du contenu de 8chan, en particulier la chaîne « pol », avait basculé vers la plate-forme de réseau social Telegram (connu pour ses politiques anti-censure qui en ont fait un paradis pour tous les goûts de l’extrémisme). Telegrampol, par exemple, a été créé en juillet. Mais la nature fragmentée des chaînes de Telegram (et l’architecture de Telegram) a probablement chassé de nombreux utilisateurs de 8chan; Telegrampol compte un total de 633 abonnés.
8kun visait à rétablir un emplacement central pour toutes les communautés de 8chans, mais devait faire face aux mêmes défis en matière d’hébergement que celui qui l’a fait tomber: sa radioactivité pour les fournisseurs d’hébergement et les registraires de domaines. C’est apparemment ce qui a amené Watkins et sa société à choisir une option d’hébergement plutôt inhabituelle: une société russe principalement connue pour l’hébergement de logiciels malveillants.
Media Land est exploité par Alexander Volosovyk, connu sous le nom de « Yahlishanda » sur les marchés Internet souterrains criminels. Selon un rapport de Brian Krebs, Volosovyk est le plus grand opérateur d’hébergement « blindé » du monde. Selon Krebs, il a évité les démolitions et les poursuites en agissant avec précaution dans les limites de la loi en Russie et dans d’autres anciens États soviétiques.
Les serveurs hébergés par l’infrastructure Media Land ont déjà été liés aux chevaux de Troie bancaires Dridex et Zeus, ainsi qu’aux réseaux de commande et de contrôle d’autres logiciels malveillants sophistiqués. Les serveurs privés virtuels hébergés sur Media Land qui utilisent des adresses IP légitimement attribuées ont été signalé à plusieurs reprises par un trafic malveillant, y compris des centaines d’attaques de connexion au protocole de bureau à distance par la force brute.
Media Land a utilisé de fausses publicités BGP pendant plus de 8kun. Selon les enregistrements DNS historiques de SecurityTrails, Media Land avait conservé une annonce pour un bloc d’adresses datant de 185.254.121.200 pendant plus d’un mois, les enregistrements d’adresse 8kun.net apparaissant il y a environ deux jours. Les hôtes liés au bloc d’adresses hébergeaient divers sites de logiciels malveillants de courte durée, des escroqueries par phishing et des pharmacies en ligne, dont certaines datent de septembre, toutes hébergées par Media Land.
L’utilisation de ce type d’annonce de routage suspecte n’est pas une tactique rare pour empêcher les attaquants potentiels de collecter des informations sur l’infrastructure d’un site ou de réseaux. Cela signifie que les requêtes Whois et les autres outils réseau ne renvoient pas d’informations utiles aux requêtes occasionnelles. Cela rend l’attaque du fournisseur d’hébergement plus difficile. Media Land a utilisé à plusieurs reprises d’autres blocs d’adresses non attribués au cours des trois dernières années.
Devenir faible
L’hébergement de Media Media peut avoir été un mouvement temporaire d’opérateurs de 8chan / 8kun. Le site reste en direct à Tor en tant que « service caché ». Et le fournisseur de service de nom de domaine du site VanwaNet a Il a été annoncé dans le passé comme une alternative à Cloudflare: Donnez aux clients la possibilité (à un moment donné dans l’avenir) de créer leurs propres réseaux de diffusion de contenu afin de lutter contre les attaques DDoS.
Ron Watkins, l’administrateur de 8kun, il a dit dans un post twitter que VanwaTech « a construit un nouveau réseau CDN fantastique capable d’offrir des services Tor cachés à une vitesse de réseau presque nette ». De plus, l’équipe de 8kun était apparemment à la recherche d’un autre service similaire à Tor, appelé Lokinet, un réseau d’anonymat basé sur le routage des oignons qui est encore en développement.
Ces services peuvent être cruciaux pour le fonctionnement continu du site, étant donné que la version Internet ouverte du site a été attaquée dès le moment où elle a été mise en service. « Nous avons fait l’objet d’attaques soutenues ces derniers jours et nous avons fait de notre mieux pour stabiliser les choses », a rapporté aujourd’hui Ron Watkins sur Twitter. « Le site est toujours en ligne, bien que boitant, alors que nous nous réorganisons et nous restructurons pour détourner les attaques sous plusieurs angles. »