NicoElNino - stock.adobe.com
Ces mystérieuses entreprises qui se font attribuer des blocs IPv4
Les pérégrinations des sites Web du ransomware Egregor font émerger un petit groupe d’entreprises dirigées par la même personne et dont certaines des adresses IP ne semblent pas toujours utilisées à des fins légitimes.
Après quelques allées et venues, les sites Web d’Egregor ont trouvé refuge chez un hébergeur russe, Hostway LLC, basé à Saint-Pétersbourg, ou plutôt IT LLC, selon le registre des sociétés. Son président dirige également un opérateur de télécommunications local créé en août 2020. Il semble disposer d’une boîte postale à Amsterdam.
Plus surprenant, le bloc d’adresses IP concerné ici apparaît historiquement attribué à Red Bytes LLC, qui eut, fin 2019 un numéro de système autonome dont les données de Whois font ressortir une adresse à Saint-Pétersbourg apparemment erronée.
Une intrigante nébuleuse…
Un numéro de téléphone présent dans ces données Whois figure également dans celles d’un autre opérateur de service autonome russe à Saint-Pétersbourg, ERA LLC. ERA LLC n’utilise pas les plages d’adresses IP annoncées par son système autonome pour l’hébergement de son site Web. Quasiment inexistant, et limité à une interface RoundCube, il est hébergé chez Nforce, aux Pays-Bas. Le nom de domaine correspondant semble avoir été quant à lui déposé via NiceNIC, à Hong Kong. Mais l’examen de l’historique des résolutions du domaine affiché par ERA LLC auprès de RIPE NCC, grâce aux outils de RiskIQ, fait ressortir un autre domaine : erahost.pro.
Les données de la Wayback Machine permettent de retrouver une page Web, datant de 2019, qui mentionne la licence et un troisième nom de domaine : infotech.ru.net. Et là, enfin, une résolution sur l’infrastructure d’ERA LLC. Mais le numéro de licence réserve la principale surprise : elle permet d’accéder au numéro d’enregistrement de l’entreprise auprès des services fiscaux russes. Selon leurs données, ce qui se cache derrière le domaine eurahost.pro n’est autre qu’IT LLC, et donc l’hébergeur Hostway.
En fait, il s’avère qu’IT LLC, Hostway LLC (Moscou), Krasny (ou Red, en anglais ; ce n’est pas anodin) Byte LLC, et Hostway Rus LLC (Saint-Pétersbourg) ont toutes les quatre été fondées – et sont dirigées – par une seule et même personne ; le doute n’est pas permis sur les liens entre ces organisations. La première a été fondée fin 2017 ; les deux suivantes fin 2019, et la quatrième en août 2020. Et cela avec environ 110 € de capital pour chacune des trois premières, et 11 000 € pour la quatrième, au cours actuel du rouble.
… Qui s’exporte
Aujourd’hui, seul Hostway LLC dispose d’une vitrine en ligne, sur le domaine Hostway.ru. Là, les conditions de vente font référence à IT LLC et renvoient au Code civil russe. Mais si l’on en croit cette vitrine, l’hébergeur serait domicilié à Chypre. En fait, sur l’île, notre hébergeur russe opère sous le nom de Starcrecium Ltd. Les directeur et secrétaire déclarés dans le registre des entreprises chypriotes donnent l’impression de prête-noms, tant ils ressortent impliqués dans nombre d’entreprises locales. Et plusieurs d’entre elles, dont Starcrecium, sont domiciliées à la même boîte aux lettres, le bâtiment Bouboulina à Nicosie.
L’extension chypriote des activités de la galaxie Hostway LLC n’est d’ailleurs pas seule dans ses propres bureaux. On y trouve également Bemsilk Ltd, Felixio Ltd, Marglow Ltd, Ribera Global Ltd, Ozarium Ltd, Akatera Ltd, Ambercore Software Ltd, Caetano Group Ltd, Movremitsa Ltd, Speedmania Ltd, Zomfar Ltd, Clarenford Ltd, Remedan Investments Ltd, Playflock Ltd, Elastum Ltd, Spaventius Ltd, Fxdfd Web Partners Ltd, DSM Investment Financial Group Ltd, Zonefar Ltd, Tahkmedia Ltd, ou encore Arround Inc., Ltd. La liste continue… L’appartement 31 au troisième étage du bâtiment Bouboulina, à Nicosie, doit offrir de beaux volumes.
Mais Starcrecium est en fait plus riche en adresses IP que ne l’est sa maison-mère russe, avec deux plages 24 et trois plages/23, soit 2 048 adresses, annoncées sur le système autonome 49505, assigné à Selectel, où l’on trouve également des plages d’adresses IP attribuées à… Red Bytes LLC, ou encore Information Technologies LLC, aussi connu pour le domaine infotech.ru – IT LLC, donc.
Et elle n’est pas seule…
Ce système autonome annonce un total de plus de 400 000 adresses IP. Mais plusieurs autres sont gérées Selectel, dont celles attribuées à Proline IT Ltd – et elles sont nombreuses –, une société domiciliée à Londres et enregistrée en août 2019. Elle est présentée comme dormante par les registres britanniques, avec seulement 1 £ d’actifs. Et ce n’est pas vraiment une surprise.
Proline IT Ltd apparaît domiciliée au 20-22 Wenlock Road, à Londres : le siège de MadeSimple, qui explique que cette adresse « peut être utilisée par toute entreprise à responsabilité limitée d’Angleterre et du Pays de Galles, même celles qui n’ont pas été formées par nous ». Pièce d’identité et justificatif d’adresse suffisent. Les données de l’administration britannique font ressortir 209 entreprises à cette adresse, dont une cinquantaine sont visées par une proposition de radiation. Proline IT Ltd a échappé à une telle radiation, début décembre dernier.
Au total, sur l’AS49505, Proline IT Ltd expose 188 plages de 256 adresses IPv4, Red Bytes LLC en expose une et Information Technologies LLC, deux. Ce qui nous amène à 2 816 adresses IPv4 exposées par la nébuleuse Hostway à Selectel, et rien moins que 48 128 par Proline IT Ltd.
L’AS 49505 n’est pas le seul système autonome attribué à Selectel. Le 50340 est mérite également que l’on s’y intéresse. On y retrouve des plages d’adresses affectées à Hostway et Starcrecium, ainsi qu’à Proline IT Ltd : 2 plages/23 et une/24 pour le premier, trois/24 et deux/23 pour le second, et trois/24 pour le dernier. Entre les deux systèmes autonomes étudiés, Hostway & Co. expose donc 5 888 adresses IPv4 à Selectel, contre rien moins que 48 896 pour Proline IT Ltd.
Mais pour quoi faire ?
Les adresses IPv4 sont désormais une denrée rare. Un opérateur ou un hébergeur peuvent chercher à passer par des sociétés tierces pour acquérir de nouvelles plages. Et de tels tiers peuvent chercher à retirer une rente. Mais il est un domaine où les adresses IPv4 sont peuvent être amenées à tourner régulièrement : les infrastructures de commande et de contrôle pour les logiciels malveillants. Pas question de présumer des motivations des acteurs évoqués ici. Ce qui n’empêche pas de s’interroger sur la manière dont ces adresses IP sont utilisées.
Justement, Sekoia vient tout récemment de publier son analyse des infrastructures de commande et de contrôle (C2) observées lors de cyberattaques en 2020. Nous avons tout naturellement demandé aux équipes de ce spécialiste français du renseignement sur les menaces ce qu’elles avaient vu, l’an passé, de malicieux, sur les adresses IP gérées sur les systèmes autonomes qui ont attiré notre attention au cours de cette enquête. Les AS 49505 et 50340 ressortent en tête pour le nombre d’IPs ayant été observées en 2020, au moins une fois, hébergeant au moins un C2. CobaltStrike s’impose là loin devant les autres, mais l’on trouve également des traces de metasploit, malleableC2, Ursnif, Hancitor, ou encore PredatorTheThief.
Sur un total de 65 adresses IPv4 observées par les équipes de Sekoia l’an dernier, et réparties sur les cinq systèmes autonomes que nous leur avons indiqués, 39 renvoient à la galaxie Hostway LLC, contre 12 seulement pour Selectel, et aucune pour Proline IT Ltd. Dans le lot, on retrouve tout de même 13 adresses qui furent, un temps, attribuées à… la mystérieuse 1337team Ltd, aux Seychelles, où sont passés les sites Web d’Egregor.