Les dossiers d’employés et financiers divulgués par certains des plus grands sponsors de spam au monde fournissent de nouveaux indices sur l’identité d’un homme russe jusque-là inconnu qui aurait été étroitement lié au développement et à la maintenance de « Bredolab », une collection massive de machines piratées qui a été démonté lors d’un ratissage international des forces de l’ordre à la fin de 2010.
Bredolab s’est développé rapidement après que Birdie a introduit son système de charge.
En octobre 2010, les autorités arméniennes ont arrêté et emprisonné un homme de 27 ans Georg Avanesov soupçonné d’exploiter Bredolab, un botnet qui infectait environ 3 millions de PC par mois par le biais d’e-mails chargés de virus et de sites Web piégés. L’arrestation résulte d’une enquête conjointe entre la police arménienne et des cyberdétectives aux Pays-Bas, dont les FAI abritaient au moins 143 serveurs utilisés pour diriger les activités du botnet.
Les enquêteurs néerlandais et arméniens soupçonnent depuis longtemps qu’Avanesov a travaillé en étroite collaboration avec un tristement célèbre botmaster russe qui a utilisé le surnom de « Birdie », mais jusqu’à présent, ils n’ont pas été en mesure d’apprendre la véritable identité du Russe ni où il se trouve.
« Il était un proche collaborateur de Gregory A. » Pim Takkenberg, chef d’équipe de la National High Tech Crime Unit aux Pays-Bas, a déclaré à propos du pirate connu sous le nom de Birdie. « En fait, nous n’avons jamais été en mesure de l’identifier complètement. »
Selon les documents divulgués de SpamIt – un programme d’affiliation de pharmacie qui a été victime d’une violation de données en 2010 – Birdie était affilié à SpamIt avec Avanesov. Ni l’un ni l’autre des affiliés n’a gagné beaucoup de SpamIt directement ; ils ont tous deux gagné beaucoup plus d’argent en vendant à d’autres spammeurs l’accès à Bredolab.
Birdie était également le surnom d’un des principaux membres de Spamdot.biz, un forum aujourd’hui disparu qui comptait autrefois parmi ses membres presque tous les grands noms de Spamit, ainsi qu’une douzaine de programmes d’affiliation de spam concurrents. L’offre principale de Birdie sur Spamdot était le « Birdie Load System », qui permettait aux autres membres d’acheter des « installations » de leur propre logiciel malveillant en le chargeant sur des machines déjà infectées par Bredolab.
Le Birdie Load System a été si réussi et populaire parmi les membres de Spamdot que Birdie a finalement dû créer un système de mise en file d’attente des clients, en planifiant de nouveaux chargements des jours ou des semaines à l’avance pour les clients à volume élevé. Selon ses propres publications sur Spamdot, Birdie traitait régulièrement au moins 50 000 nouveaux chargements ou installations pour les clients chaque jour.
« En raison du fait que beaucoup de mes clients détestent faire la queue, nous avons commencé à vendre l’accès aux créneaux hebdomadaires », a écrit Birdie. « Si un ‘slot’ est acheté, indépendamment des autres clients, la personne qui a acheté le créneau est garantie de service. »
En utilisant le système de chargement Bredolab de Birdie, les spammeurs pouvaient facilement réamorcer leurs propres botnets de spam et pouvaient compter sur des systèmes de chargement comme celui-ci pour reconstruire les botnets qui avaient été gravement endommagés par des retraits ciblés par des militants anti-spam et/ou des forces de l’ordre. Bredolab était également couramment utilisé pour déployer de nouvelles installations du cheval de Troie ZeuSqui a été utilisé dans d’innombrables cambriolages bancaires en ligne contre des consommateurs et des entreprises.
Vous trouverez ci-dessous une version traduite du message de décembre 2008 de Birdie sur Spamdot décrivant les règles, les prix et les capacités de sa machine de chargement de logiciels malveillants (cliquez deux fois sur l’image ci-dessous pour une version agrandie du fil de discussion Spamdot d’où cette traduction a été tirée).
Un pays (choix du client) – 150 $.
Statistiques
Chaque commande reçoit un lien unique, qui indique :
a) Délai pour ordonner l’exécution
b) Nombre de charges en temps réel
c) Changement d’exe
Des règles
1. Les prix sont non négociables
2. Pas de rabais pour les grosses commandes
3. La capture FTP n’est pas autorisée à être chargée
4. Aucun régime d’affiliation
5. Les charges sont comptées en fonction de l’exe en cours d’exécution, si votre exe est vierge, vous gagnez beaucoup. La perte de « call home » peut atteindre 50% si exe est « sale ».
6. Vous ne pouvez pas changer votre position « en ligne » pour une meilleure pour n’importe quel argent.
7. Je ne crypte en aucun cas les exe.
8. Si votre exe n’a pas « appelé à la maison », ce n’est pas à cause de notre logiciel, c’est à cause du vôtre. Par conséquent, aucune réclamation n’est acceptée.
Prendre des commandes sur Jabber ! Ne pensez pas que c’est un e-mail.
Je m’occupe des problèmes techniques et je prends les commandes — [email protected]
Si je ne suis pas disponible, frappez ici uniquement pour passer votre commande – [email protected]
QUI EST BIRDIE ?
Birdie a laissé une traînée d’indices qui ramènent tous au même endroit et à la même identité. Il convient de mentionner que Birdie a peut-être intentionnellement laissé cette trace d’indices dans le cadre d’une ruse élaborée pour égarer les enquêteurs si les bases de données SpamIt et Spamdot tombaient un jour entre de mauvaises mains (comme elles l’ont toutes deux fait). Je dois également mentionner que j’ai demandé des réponses à la personne nommée ci-dessous via plusieurs méthodes, mais je n’ai reçu aucune réponse.
Birdie s’est inscrit sur Spamdot en utilisant l’adresse e-mail [email protected]. Une recherche en ligne pour cette adresse produit un seul résultat : une publicité sur le site Web de l’industrie du transport pour mkadr.ru, une société russe de services de suivi GPS basée à Moscou. L’annonce, placée en mars 2009, affiche l’adresse [email protected] à côté d’un numéro de téléphone (495) 649-69-07 et du nom « Alex ».
Birdie a été payé pour ses services de spam par SpamIt via des dépôts effectués auprès d’un WebMoney bourse appartenant à ID WebMoney 458269734041. Ce même ID WebMoney est listé comme un moyen acceptable de payer des cartes numériques vendues par un site appelé track4maps.com. Selon les versions en cache de mkadr.ru sur archive.orgtrack4maps.com et mkadr.ru semblent être la même entreprise.
Ce même compte WebMoney a été utilisé par un autre affilié de SpamIt, quelqu’un qui a utilisé le surnom « Lex » et l’adresse e-mail [email protected]. Les dossiers de spam montrent que Birdie était une référence de Lex. Les deux comptes peuvent avoir été créés par la même personne ; les enregistrements divulgués indiquent qu’il était très courant pour les affiliés de SpamIt d’utiliser plusieurs alias et surnoms. Les enregistrements WHOIS montrent que l’adresse e-mail [email protected] est celle utilisée à l’origine pour enregistrer track4maps.com. Une recherche de cette adresse e-mail dans Google produit peu de résultats, y compris une liste sur un site Web de carte de visite électronique appelé copi.ru qui dit que l’adresse appartient à un Moscovite nommé Alexandre « Lexandro » V. Maksudov. Un autre site indique que l’employé de mkadr.ru a également utilisé le nom de famille ou l’alias « Maximov ».
Une recherche Google pour l’identifiant WebMoney utilisé à la fois par Lex et Birdie produit sur la première page de résultats une liste sur icq-uin.ru, un site où les gens peuvent vendre aux enchères des identifiants de messagerie instantanée ICQ inutilisés ou indésirables. Cette annonce, faite en août 2008, indique que le vendeur était un certain Alexander qui a répertorié son site Web commercial sous le nom de mkadr.ru.
Bien que le botnet Bredolab ait été démantelé, il y a de fortes indications que Birdie a reconstruit un système de chargement massif et le vend à nouveau dans le métro. Mais c’est un sujet pour un prochain article.