La cybercriminalité souterraine se développe chaque jour, mais plus je l’étudie, plus je suis convaincue qu’une grande partie de celle-ci est dirigée par un groupe de pirates assez restreint et peu homogène. Cette suspicion s’est renforcée cette semaine lorsque j’ai découvert que l’auteur du tristement célèbre Cheval de Troie ZeuS était un membre essentiel de Spampointjusqu’à récemment le forum en ligne le plus exclusif pour les spammeurs et les hommes d’affaires louches qui soutiennent les grands botnets de spam.
Grâce à une inimitié profonde entre les propriétaires de deux des plus grands programmes d’affiliation de spam, la base de données de Spamdot a été divulguée à une poignée d’enquêteurs et de chercheurs, dont BreachTrace. Le forum comprend les messages publics et les messages privés de tous les membres, même ceux que les membres pensaient avoir été supprimés. Je me suis penché sur ces messages privés dans le but de cartographier les alliances et d’en savoir plus sur les individus derrière les principaux botnets de spam.
L’identité de l’auteur de Zeus sur Spamdot, vendant un stock excédentaire d' »installations ».
Alors que je passais en revue les messages privés d’un membre de Spamdot surnommé « Umbro », j’ai remarqué qu’il avait donné à quelques membres clés son adresse de messagerie instantanée privée, le compte jabber [email protected]. En 2010, j’ai appris de plusieurs sources fiables que pendant plusieurs mois, ce compte était utilisé exclusivement par l’auteur de ZeuS pour communiquer avec des clients nouveaux et existants. Lorsque j’ai creusé plus profondément dans les messages privés d’Umbro, j’en ai trouvé plusieurs d’autres membres de Spamdot qui cherchaient des mises à jour de leurs botnets ZeuS. Dans des messages de 2009 adressés à un membre de Spamdot nommé « Russso », Umbro déclare catégoriquement : « salut, je suis l’auteur de Zeus ».
Les publications Spamdot publiques et privées d’Umbro offrent un point de vue fascinant pour observer un environnement intensément compétitif et jalousement gardé dans lequel les membres se nourrissent des succès et des échecs des uns et des autres. Les messages fournissent également un livre noir virtuel des clients qui ont acheté le code du bot ZeuS.
Dans la capture d’écran ci-dessus, l’auteur de ZeuS peut être vu en train de vendre des « installations » excédentaires, proposant de louer des machines piratées que les autres membres du forum peuvent ensemencer avec leurs propres robots de spam (j’ai ajouté une traduction sous chaque ligne). Son prix est de 60 $ pour 1 000 systèmes compromis. Il s’agit de frais très raisonnables et conformes aux tarifs pratiqués par des entreprises de paiement par installation plus organisées qui ont également tendance à bourrer les PC hôtes de tant d’autres logiciels malveillants que les clients qui ont payé pour charger leurs bots sur ces machines les trouvent rapidement instables. ou inutilisable. D’autres membres l’ont apparemment également reconnu comme une bonne affaire, et il a rapidement reçu des messages d’un certain nombre de preneurs intéressés.
L’image ci-dessous montre l’auteur de Zeus morcelant une ressource de spam petite mais potentiellement précieuse qui a sans aucun doute été récoltée à partir de systèmes compromis par son cheval de Troie. Dans cette sollicitation, datée de janvier 2008, Umbro vend une liste de diffusion qui serait particulièrement utile pour les campagnes ciblées de logiciels malveillants par e-mail.
Auteur de Zeus, vendant une liste de courriels de présidents, CIO, etc. La liste s’est vendue en 5 heures.
Il n’est pas surprenant que l’auteur de Zeus fréquente un tel forum ; il est bien connu pour avoir traîné sur d’autres forums exclusifs où des cyber-voleurs partageant les mêmes idées se sont installés. Mais les messages d’Umbro fournissent la meilleure preuve à ce jour que non seulement il était l’auteur et le principal propriétaire d’un cheval de Troie sophistiqué qui a aidé à voler des centaines de millions de dollars à des petites et moyennes entreprises, mais qu’il a également maintenu ses propres botnets importants.
Les enregistrements de Spamdot montrent qu’aussi souvent qu’il vendait des installations, Umbro s’est tourné vers certains des meilleurs auteurs de botnets pour reconstruire ses botnets privés. Dans un message privé du 14 avril 2010 envoyé à Ger@ – un membre de Spamdot que j’ai identifié plus tôt ce mois-ci comme le mécréant en charge de l’énorme botnet Grum – Umbro dit qu’il est « prêt à acheter des installations » et prêt à offrir un prix équitable pour l’achat en gros. Dans une autre communication à peu près au même moment, Umbro cherche à louer des ressources de botnet à un partenaire commercial de « Google », le surnom de la personne que j’ai identifiée en janvier comme l’auteur du botnet Cutwail.
Les communications publiques et privées d’Umbro révèlent la fréquence à laquelle il a changé ses surnoms, adresses e-mail et autres coordonnées – une tactique courante utilisée pour semer la confusion et échapper aux enquêteurs des forces de l’ordre. Au moment où Spamdot a été fermé en septembre 2010, l’auteur de ZeuS utilisait le surnom de « Slavik ». Il venait d’annoncer qu’il se retirait de l’entreprise et que le code qui alimente son cheval de Troie serait fusionné avec celui de SpyEye.
Les chercheurs en sécurité de RSA ont fait une découverte intéressante à peu près au même moment où l’auteur de ZeuS complotait son dernier acte de disparition. Ils ont trouvé des preuves que l’auteur de ZeuS n’a pas exactement pris sa retraite, mais semble plutôt s’être lancé dans le commerce des botnets pour lui-même. RSA Rivière Uri a déclaré que juste avant l’annonce de cette fusion sur des forums clandestins, les enquêteurs de la RSA sont tombés sur un botnet créé en août 2010 avec une version personnalisée de ZeuS qui n’était ni vendue ni distribuée dans la clandestinité.
Cette version personnalisée, que RSA a surnommée « ZeuS 2 », téléphonait à un serveur de contrôle sur le Web auquel les chercheurs pouvaient accéder. Ils ont découvert qu’entre août 2010 et août 2011, plus de 200 000 PC avaient téléphoné à ce serveur, ce qui avait permis d’aspirer des dizaines de gigaoctets de données à partir de machines hôtes. Ils ont également appris que des malfaiteurs avaient créé quatre identifiants autorisés à accéder au serveur de contrôle du botnet : « rootadmin », « NS », « chingiz » et « Slavik » (voir capture d’écran ci-dessous).
« Ce ZeuS2 a eu beaucoup d’améliorations et a été créé avant que la source ZeuS ne change de mains », m’a dit Rivner de RSA dans une interview en octobre dernier. « Il se peut que Slavik ait décidé de s’éloigner de la vente de logiciels et de soutenir tous ses clients pour développer une infrastructure qui peut être louée et faire partie d’un groupe criminel organisé plus large. »
Selon un chercheur en sécurité qui a accès au même serveur mais a demandé à rester anonyme, il y a maintenant plus d’un quart de million de PC compromis par cette version personnalisée de ZeuS et qui rendent compte à ce même serveur de contrôle.
Le surnom de l’auteur de ZeuS, « Slavik », faisait partie des personnes autorisées à se connecter à l’inhabituel botnet ZeuS2.