Le 5 avril 2023, le FBI et la police nationale néerlandaise a annoncé le retrait de Genesis Market, l’un des plus grands marchés du dark web. L’opération, baptisée « Operation Cookie Monster », a abouti à l’arrestation de 119 personnes et à la saisie de plus d’un million de dollars en crypto-monnaie. Vous pouvez lire le mandat du FBI ici pour les détails spécifiques à ce cas. À la lumière de ces événements, j’aimerais discuter de la manière dont OSINT peut aider aux enquêtes sur le dark web.
L’anonymat du Dark Web attire une variété d’utilisateurs, des lanceurs d’alerte et des militants politiques aux cybercriminels et aux terroristes. Il existe plusieurs techniques qui peuvent être utilisées pour essayer d’identifier les individus derrière ces sites et personnages.
Vulnérabilités techniques
Bien qu’ils ne soient pas considérés comme OSINT, il y a eu des cas où des vulnérabilités techniques ont existé dans la technologie utilisée pour héberger des sites Web sombres. Ces vulnérabilités peuvent exister dans le logiciel lui-même ou être dues à des erreurs de configuration, mais elles peuvent parfois révéler la véritable adresse IP du site. Souvent, ces vulnérabilités logicielles nécessitent des outils et des techniques de test d’intrusion tels que Burp Suite pour induire des messages d’erreur contenant la véritable adresse IP du site. De telles vulnérabilités sont rares et rarement utilisées.
Il y a également eu des cas où des opérateurs de sites Web sombres ont utilisé des certificats SSL ou des clés SSH, qui peuvent être liés à leur véritable adresse IP à l’aide de services tels que Shodan ou Censys.
Traçage de crypto-monnaie
Les transactions sur le dark web impliquent souvent des cryptomonnaies en échange de biens et services illégaux. Cela ouvre la possibilité d’identifier des individus à l’aide d’outils d’analyse de la blockchain.
Je ne peux pas me rendre dans une banque et ouvrir un compte en utilisant le nom « anonyme » en raison des lois conçues pour empêcher le blanchiment d’argent. Ces exigences sont souvent appelées Anti-Money Laundering (AML) et Know Your Customer (KYC) et exigent que les clients fournissent une pièce d’identité émise par le gouvernement comme preuve d’identité. De nombreux pays ont des exigences similaires sur les échanges de crypto-monnaie.
Depuis plusieurs années, les entreprises fournissent des outils d’analyse de la blockchain qui tentent de lier les adresses de crypto-monnaie à des échanges spécifiques, tels que Coinbase ou Binance. Une fois qu’une adresse de crypto-monnaie est liée à un échange spécifique, les forces de l’ordre et/ou les enquêteurs financiers disposant d’une autorité légale peuvent demander que l’échange leur fournisse des informations d’identification pour le propriétaire de ce compte.
Historiquement, ces services d’analyse de blockchain ont été d’un coût prohibitif pour les particuliers, cependant, le fournisseur d’analyse de blockchain Chapelure a récemment lancé une plate-forme d’analyse qui propose des prix beaucoup plus abordables et un plan gratuit.
Les amener sur Internet
Nous ne discutons pas du dark web avant le cinquième jour de mon SANS SEC497 Cours pratique OSINT, Pourquoi? Il est important que vous vous renseigniez d’abord sur les options disponibles une fois qu’une méthode de contact acquise sur le dark web est ramenée sur Internet. Laisse-moi expliquer.
Imaginez que vous dirigez un food truck constamment obligé de changer d’emplacement en raison d’une ordonnance municipale selon laquelle vous ne pouvez jamais être au même endroit plus de deux fois par mois. Comment essayeriez-vous de fidéliser votre marque et de faire savoir aux clients potentiels où vous vous trouvez chaque jour ?
Vous essaierez probablement d’amener les clients à se connecter avec vous sur les réseaux sociaux ou à visiter votre site Web, etc., afin qu’ils sachent où vous trouver. Croyez-le ou non, il existe une dynamique très similaire sur le dark web.
Ce que le dark web apporte dans l’anonymat, et ce qui lui manque, c’est la stabilité et la sécurité. Les principaux marchés tels que Silk Road, AlphaBay, Hansa, Wall Street et maintenant Genesis ont tous été détruits par les forces de l’ordre. Les attaques par déni de service sont devenues un problème majeur sur le réseau Tor, comme en témoigne le populaire forum « Dread » qui a récemment été interrompu pendant plusieurs mois en raison de telles attaques. Pouvez-vous imaginer essayer de gérer une entreprise et d’obtenir un revenu stable dans cet environnement ?
L’un des moyens par lesquels les vendeurs essaient d’atteindre la stabilité et la résilience consiste à vendre sur plusieurs marchés et à fournir des méthodes pour les contacter directement. Cette tentative de stabilité a beaucoup de sens et est incroyablement utile pour les praticiens de l’OSINT car elle fournit des méthodes de contact, ou « sélecteurs », que nous pouvons utiliser pour les trouver sur Internet et apporter toutes nos connaissances, notre expérience et nos ressources. . Regardez l’exemple ci-dessous où nous avons pu prendre une adresse e-mail d’un site Web sombre et la lier à un site sur Internet à l’aide de Google.
Une fois que nous avons lié la ou les personnes aux ressources sur Internet, nous avons de nombreuses options pour les anonymiser. Certaines de mes options préférées incluent :
Recherches WHOIS historiques
Les informations d’enregistrement de domaine telles que les enregistrements WHOIS peuvent fournir des informations utiles sur le propriétaire ou l’opérateur d’un site Web. Dans certains cas, les criminels peuvent révéler par inadvertance leur identité ou leur emplacement en utilisant des mesures de protection de la vie privée inexactes ou incomplètes. Même si les informations WHOIS d’un site sont actuellement anonymes, il y a souvent eu un moment où elles ne l’étaient pas. J’ai vu des lacunes aussi petites que quatre jours où un site enregistré en privé avant et après a révélé la véritable identité de son propriétaire.
OSINT sur les forums
Les individus sur le dark web participent souvent à des forums pour communiquer, répondre à des questions, etc. Ils peuvent révéler par inadvertance des informations qui peuvent aider les praticiens de l’OSINT à en savoir plus sur leur véritable identité. La langue qu’ils utilisent et leurs dictons uniques peuvent être extrêmement utiles.
Données de violation
Même si un e-mail est lié à un service anonyme, l’utilisateur peut l’avoir utilisé sur d’autres sites, y compris des forums et des réseaux sociaux. Si vous êtes légalement et moralement en mesure d’utiliser des données de violation dans vos enquêtes, vous pourrez peut-être lier un personnage en ligne à un vrai nom, une adresse physique, etc.
Un exemple de fuite qui s’est avéré utile pour certains enquêteurs était la fuite en 2021/2022 de 10 Go de données de plusieurs fournisseurs de VPN, dont SuperVPN, GeckoVPN et ChatVPN. Ces données contenaient les noms complets, les détails de facturation et des identifiants potentiellement uniques sur les appareils utilisés, y compris l’identité internationale de l’abonné mobile (IMSI) des appareils mobiles.
Développements et tendances futurs
Les futurs retraits du marché du dark web utiliseront les méthodes décrites ici et intégreront sans aucun doute les technologies émergentes. Le développement le plus évident consiste à utiliser l’intelligence artificielle (IA) et l’apprentissage automatique (ML) dans OSINT. Par exemple, l’IA peut aider à créer des outils de scraping Web capables de collecter et d’analyser rapidement des données provenant de plusieurs sources, tandis que les algorithmes ML peuvent être formés pour identifier des modèles et des relations dans les données. Ces avancées ont le potentiel de faire gagner beaucoup de temps et de ressources aux enquêteurs, leur permettant de se concentrer sur d’autres aspects de leurs enquêtes.
Pour en savoir plus sur The SANS Institute, la formation en cybersécurité, les certifications et les ressources GRATUITES, cliquez ici maintenant!
Remarque : Cet article a été écrit de manière experte et a contribué par Matt EdmondsonInstructeur Principal SANS.