[ad_1]

Parmi les gangs de cybercriminalité les plus pilleurs se trouve un groupe connu sous le nom de « Carbanak,« Des hackers d’Europe de l’Est accusés d’avoir volé plus d’un milliard de dollars aux banques. Aujourd’hui, nous allons examiner quelques indices convaincants qui indiquent un lien entre les terrains de rassemblement du gang Carbanak et une entreprise de sécurité russe qui prétend travailler avec certaines des plus grandes marques mondiales de cybersécurité.

Le gang Carbanak tire son nom du malware bancaire utilisé dans d’innombrables cybercasses. Le gang est peut-être mieux connu pour avoir piraté directement les réseaux bancaires en utilisant des fichiers Microsoft Office empoisonnés, puis en utilisant cet accès pour forcer les guichets automatiques bancaires à distribuer de l’argent. Entreprise de sécurité russe KasperskyLab estimations que le gang Carbanak a probablement volé plus d’un milliard de dollars américains, mais principalement dans des banques russes.

Image : Kaspersky

Image : Kaspersky

J’ai récemment entendu un chercheur en sécurité Ron Guilmetteun croisé anti-spam dont les détectives ont été présentés à plusieurs reprises  . Guilmette a déclaré qu’il avait trouvé des points communs intéressants dans les enregistrements d’enregistrement de sites Web d’origine pour un grand nombre de sites qui ont tous été auparavant responsables de la diffusion de logiciels malveillants connus pour être utilisés par le gang Carbanak.

Par exemple, les domaines « service week-end[dot]com” “coral-trevel[dot]com » et « freemsk-dns[dot]com” tous ont été documentés par plusieurs Sécurité entreprises en tant que centres de distribution pour les logiciels criminels Carbanak. Enregistrement historique ou dossiers « WHOIS » conservés par Domaintools.com pour les trois domaines contiennent les mêmes numéros de téléphone et de fax pour ce qui semble être un Xicheng Co. en Chine – 1066569215 et 1066549216chacun précédé soit d’un +86 (code pays de la Chine) ou +01 (ETATS-UNIS). Chaque enregistrement de domaine comprend également la même adresse de contact : « [email protected]“.

Selon les données recueillies par ThreatConnectun fournisseur de renseignements sur les menaces [full disclosure: ThreatConnect is an advertiser on this blog], au moins 484 domaines ont été enregistrés à l’adresse [email protected] ou à l’une des 26 autres adresses e-mail qui répertorient les mêmes numéros de téléphone et société chinoise. « Au moins 304 de ces domaines ont été associés à un plugin malveillant [that] a déjà été attribué à l’activité de Carbanak », a déclaré ThreatConnect à BreachTrace.

Pour en revenir à ces deux numéros de téléphone, 1066569215 et 1066549216 ; à première vue, ils semblent être séquentiels, mais un examen plus approfondi révèle qu’ils diffèrent légèrement au milieu. Parmi les très rares domaines enregistrés sur ces numéros de téléphone chinois qui n’ont pas été vus lancer des logiciels malveillants se trouve un site Web appelé « cubehost[dot]affaires« , qui, selon les archives, a été enregistré en septembre 2013 par un homme de 28 ans Artem Tveritinov de Perm, Russie.

Hôte de cube[dot]biz est un site inactif, mais il semble être la propriété sœur d’une société de sécurité russe appelée Infocube (également orthographié « Infokube »). Le site Internet InfoKube — infokube.ru — est également enregistrée auprès de M. Tveritinov de Perm, Russie ; il y a des dizaines d’enregistrements dans l’historique WHOIS pour infokube.ru, mais seul l’enregistrement original le plus ancien de 2011 contient l’adresse e-mail [email protected]

Cette même adresse e-mail a été utilisée pour s’inscrire un compte de profil de quatre ans sur le site de réseautage social russe populaire Vkontakte pour Artyom « LioN » Tveritinov de Perm, Russie. Le bit « LioN » est une référence apparente à un produit antivirus Infokube du même nom.

M. Tveritinov est cité comme « le PDG d’InfoKub » dans un communiqué de presse à partir de Regard de faucon, une société de sécurité des données basée à Moscou qui s’est associée à l’InfoKube pour mettre en œuvre « la protection des données et la surveillance des employés » dans un institut de recherche commerciale russe. Les propres communiqués de presse d’InfoKube indiquent que la société a également été engagée pour développer « un système de protection des informations contre tout accès non autorisé » entrepris pour la ville de Perm, en Russie, et pour des projets de conseil liés à la « sécurité de l’information » entrepris pour et avec le ministère d’État de Intérieur de la Russie.

Le site Web de la société affirme qu’InfoKube s’associe à une variété d’entreprises de sécurité établies – y compris Symantec et Kaspersky. Ce dernier a confirmé qu’InfoKube était « un partenaire très mineur » de Kaspersky, principalement impliqué dans l’intégration de systèmes. Zyxel, un autre partenaire répertorié sur la page des partenaires d’InfoKube, a déclaré qu’il n’avait aucun partenaire nommé InfoKube. Entreprise de sécurité basée en Slovaquie ESET a déclaré « Infokube n’est pas et n’a jamais été un partenaire d’ESET en Russie. »

Présenté avec les conclusions de Guilmette, j’ai tenu à demander à M. Tveritinov comment les numéros de téléphone et de fax d’une entité chinoise dont le numéro de téléphone est devenu synonyme de cybercriminalité ont pu être copiés textuellement dans les registres d’enregistrement du site Web de Cubehost. J’ai envoyé des demandes de commentaires à M. Tveritinov par e-mail et via sa page Vkontakte.

Au départ, j’ai reçu une réponse amicale de M. Tveritinov par e-mail exprimant sa curiosité au sujet de ma demande et me demandant comment j’avais découvert son adresse e-mail. Au milieu de la rédaction d’une réponse de suivi plus détaillée, j’ai remarqué que le profil de réseau social Vkontakte que Tveritinov maintenait régulièrement depuis avril 2012 était définitivement supprimé sous mes yeux. La page de profil et les photos de Tveritinov ont en fait disparu de l’écran que j’avais sur un moniteur alors que j’étais en train de lui écrire un e-mail sur l’autre.

Peu de temps après la suppression de la page Vkontakte de Tveritinov, j’ai eu de ses nouvelles par e-mail. Ignorant ma question sur la disparition soudaine de son compte sur les réseaux sociaux, Tveritinov a déclaré qu’il n’avait jamais enregistré cubehost.biz et que ses informations personnelles avaient été volées et utilisées dans les dossiers d’enregistrement de cubehost.biz.

« Notre société n’a jamais rien fait d’illégal et mène toutes ses activités conformément aux lois de la Fédération de Russie », a déclaré Tveritinov dans un e-mail. « De plus, il est assez stupide d’utiliser nos propres données personnelles pour enregistrer des domaines à utiliser pour des crimes, car [we are] spécialistes dans le domaine de la sécurité de l’information.

Il s’avère qu’InfoKube/Cubehost gère également toute une série d’adresses Internet gérées par Réseau Internet de Saint-Pétersbourg (ÉPINGLER) Ltd.un FAI de Saint-Pétersbourg, en Russie, qui a une réputation peu reluisante en matière de méchanceté en ligne.

Par exemple, bon nombre des noms de domaine susmentionnés que les sociétés de sécurité ont liés de manière concluante à la distribution de Carbanak (par exemple, freemsk-dns[dot].com) sont hébergés dans l’espace d’adressage Internet attribué à Cubehost. Une recherche du Dossiers d’enregistrement RIPE pour le bloc d’adresses à 146.185.239.0/24 retourne une adresse physique dans Ras al Khaimah, un émirat des Emirats Arabes Unis (EAU) qui a cherché à se forger une réputation de paradis fiscal et de lieu où il est facile de créer des sociétés offshore totalement anonymes. La même liste indique que les plaintes pour abus concernant les adresses Internet de ce bloc d’adresses doivent être envoyées à « [email protected] ».

Ce fournisseur d’hébergement PIN à Saint-Pétersbourg a acquis une certaine notoriété à part entière et mérite probablement un examen plus approfondi compte tenu de sa réputation de refuge pour toutes sortes de vauriens en ligne. En réalité, Doug Madorydirecteur de l’analyse Internet chez cabinet de gestion de la performance Internet Dynaa référé à la société comme « … peut-être le principal candidat pour être nommé le Mos Eisley d’Internet » (une référence intelligente à le spatioport plein de hors-la-loi extraterrestres dans le film de 1977 Guerres des étoiles).

Madory a expliqué que la mauvaise réputation durement acquise de PIN découle de la propension documentée du FAI à s’enfuir avec d’énormes blocs d’adresses Internet qui ne lui appartiennent pas réellement, puis à relouer cet espace d’adressage Internet volé aux spammeurs et autres mécréants Internet.

Pour sa part, Guilmette souligne une décennie d’autres activités néfastes en cours sur l’espace d’adressage Internet apparemment attribué à Tveritinov et à sa société. Par exemple, en 2013, Microsoft a saisi un groupe de domaines parqués là-bas qui ont été utilisés comme contrôleurs pour les logiciels malveillants bancaires en ligne Citadel, et tous ces domaines avaient le même « Xicheng Co. » données dans leurs enregistrements WHOIS. UNE Rapport de septembre 2011 sur le blog de sécurité dynamoo.com note plusieurs domaines avec ces informations WHOIS de Xicheng Co. apparaissant dans des cambriolages bancaires en ligne alimentés par le cheval de Troie bancaire Sinowal en 2006.

« Si M. Tveritinov a connaissance ou est directement impliqué dans une fraction des événements criminels au sein de son bloc d’adresses, alors la possibilité qu’il puisse peut-être aussi jouer un rôle dans d’autres entreprises criminelles supplémentaires… y compris peut-être même les cambriolages de la cyberbanque de Carbanak… deviennent d’autant plus plausibles et probables », a déclaré Guilmette.

On ne sait pas dans quelle mesure le gang Carbanak est toujours actif. Le mois dernier, les autorités russes ont arrêté 50 personnes qui seraient liées au groupe de cybercriminalité organisé, dont les membres aurait viennent de Russie, de Chine, d’Ukraine et d’autres régions d’Europe. L’action a été présentée comme la plus grande répression jamais menée contre les pirates financiers en Russie.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *