[ad_1]

Microsoft lundi nommé un homme russe comme prétendument responsable de la gestion du Le botnet Kelihos, un moteur de spam qui a infecté environ 40 000 PC. Mais des données confidentielles saisies à partir d’un énorme programme d’affiliation de spam suggèrent que la force motrice derrière Kelihos est une personne différente qui commandait un empire de spam beaucoup plus vaste et qui coordonne toujours des campagnes de spam à la location.

Kelihos partage beaucoup de code avec le tristement célèbre Botnet Waledac, une menace bien plus répandue qui a infecté des centaines de milliers d’ordinateurs et pompé des dizaines de milliards de courriers indésirables faisant la promotion de pharmacies en ligne louches. Malgré la large base de code partagé entre les deux familles de logiciels malveillants, Microsoft les classe comme des menaces fondamentalement différentes. La société a utilisé de nouvelles techniques juridiques pour prendre le contrôle et fermer les deux botnets, meunier poinçonnage Waledac début 2010 et sortir Kelihos l’automne dernier.

Lundi, Microsoft a déposé des documents auprès d’un tribunal de Virginie déclarant que Kelihos était exploité par Andreï N. Sabelnikov, un homme de Saint-Pétersbourg qui a déjà travaillé dans une société russe d’antivirus et de sécurité Agnitum. Mais selon le chercheur qui a partagé ces renseignements avec Microsoft – et de manière confidentielle avec breachtrace On Security des semaines avant l’annonce de Microsoft – Sabelnikov n’est probablement qu’un développeur de Kelihos.

« C’est le même code avec des modifications », a déclaré Brett Stone-Grossun analyste en sécurité qui est entré en possession du code source de Kelihos l’année dernière et a étudié en profondeur les deux familles de logiciels malveillants.

Au contraire, a déclaré Stone-Gross, le véritable coordinateur de Kelihos et de Waledac est probablement un autre Russe bien connu des militants anti-spam.

QUI EST SEVERA ?

Une variété d’indices suggèrent que la personne derrière Waledac et plus tard Kelihos est un homme nommé « Pierre Sévéra» – connu simplement sous le nom de « Severa » sur les forums clandestins. Depuis plusieurs années consécutives, Severa figure dans la liste des 10 pires spammeurs publiée par des militants anti-spam sur Spamhaus.org (il se classe actuellement au 5e rang). Spamhaus a allégué que Severa était le partenaire russe d’un spammeur américain condamné. Alan Ralskyet en effet Peter Severa était inculpé par le ministère américain de la justice dans une enquête de spam connexe et en cours.

Il s’avère que la connexion entre Waledac et Severa est soutenue par des données divulguées en 2010 après que des pirates ont fait irruption dans les serveurs du programme d’affiliation de spam de pharmacie. SpamIt. Les données comprennent également des indices alléchants sur la véritable identité de Severa.

Dans plusieurs cas, Severa donne son nom complet comme « Peter North » ; Peter Severa se traduit littéralement du russe par « Pierre du Nord ». (Le surnom peut être un clin d’œil au la star du porno Peter Northce qui serait approprié étant donné que Peter North, le spammeur, faisait la promotion de pharmacies louches dont le principal vendeur était des médicaments d’amélioration des performances masculines).

Le modérateur de Spamdot.biz, Severa, liste les prix pour louer son botnet de spam Waledac.

Selon les archives de SpamIt, Severa a généré des revenus de 438 000 $ et gagné des commissions de 145 000 $ en spammant des sites de pharmacies en ligne voyous sur une période de 3 ans. Il a également été animateur de Spamdot.biz (photo de droite), un forum réservé aux membres contrôlés qui comprenait de nombreux des meilleurs revenus de SpamIt, ainsi que des spammeurs/auteurs de logiciels malveillants à succès d’autres programmes d’affiliation tels que EvaPharmacie et Mailien.

Severa semble avoir gagné plus d’argent en louant son botnet à d’autres spammeurs. Pour 200 $, les utilisateurs contrôlés pourraient louer son botnet pour envoyer 1 million de spams ; les campagnes de courrier indésirable vantant les escroqueries à l’emploi ou à l’argent coûtent 300 $ par million, et les e-mails de phishing pourraient être diffusés via le botnet de Severa pour la modique somme de 500 $ par million.

Spamhaus dit que le vrai nom de Severa pourrait être Pierre Levashov. Les informations que Severa lui-même a fournies à SpamIt suggèrent que l’intelligence de Spamhaus n’est pas loin de la vérité.

Severa a fait déposer ses gains SpamIt dans un compte à WebMoney, une monnaie virtuelle populaire en Russie et en Europe de l’Est. Selon une source qui a la capacité de rechercher des informations d’identité liées aux comptes WebMoney, le compte a été créé en 2001 par quelqu’un qui est entré dans un bureau WebMoney et a présenté le Passeport russe #454345544. Le passeport portait le nom d’un Moscou alors âgé de 26 ans – Viktor Sergueïevitch Ivashov.

SECRETS SPAMDOT

Alors, où sont les indices suggérant que Severa dirigeait Waledac ? breachtrace On Security a également réussi à sécuriser une copie du forum Spamdot.biz, y compris les messages privés pour tous ses utilisateurs. Le 27 août 2009, Severa a envoyé un message privé à un utilisateur de Spamdot.biz nommé « ip-server ». Ces communications montrent que ce dernier avait vendu à Severa l’accès à des services dits « d’hébergement pare-balles » qui résisteraient aux allégations d’abus répétés d’autres FAI. Les messages indiquent que Severa a conclu une transaction avec ip-server pour acheter des serveurs dédiés utilisés pour contrôler les opérations du botnet Waledac.

Dans le message privé représenté sur la capture d’écran à gauche, Severa écrit (traduit du russe) :

« Bonjour, en écrivant à votre ICQ, vous ne répondez pas. L’un des serveurs est indisponible depuis 5 heures. Celui se terminant sur .171. Quel est le problème, arrive-t-il ou non, et quand ? »

ssh 193.27.246.171
ssh : se connecter à l’hôte 193.27.246.171 port 22 : pas de route vers l’hôte »

Le serveur IP a dû résoudre la panne, car le serveur dont Severa se plaignait — 193.27.246.171 – serait signalé un jour plus tard par les analystes des logiciels malveillants, et étiqueté comme serveur de contrôle pour le botnet Waledac.

Il existe des indices qui suggèrent une relation entre Severa et Kelihos qui vont au-delà des similitudes dans le code qui alimente les deux botnets. L’été dernier, avant le démantèlement de Kelihos par Microsoft, j’ai écrit sur une autre entreprise que Severa a largement annoncée sur les forums de hackers : « Sevantivir », un programme d’affiliation qui récompensait les pirates pour avoir incité les gens à installer et finalement à payer pour de faux logiciels antivirus.

Dans cette histoire, j’ai cité des recherches menées par un chercheur français sur les logiciels malveillants et un blogueur Steven « Xylitol » K, qui a découvert que le programme d’installation que Severa donnait aux affiliés ensemencé les PC infectés avec à la fois un faux antivirus et une copie de Kelihos. De cette histoire:

« Steven a découvert que le programme d’installation malveillant que les affiliés de Sevantivir devaient distribuer était conçu pour télécharger deux fichiers. L’un était un faux programme AV appelé Security Shield. L’autre était un robot spammeur qui envoyait du courrier indésirable proxénétisme sur les sites de pilules Canadian Pharmacy/Glavmed. Le spambot est détecté par le logiciel antivirus de Microsoft comme Win32.Kelihos.b. Selon Microsoft, Kelihos.b partage de grandes parties de son code avec le Ver Waledacun ver infâme qui pendant plusieurs années a été synonyme de pourriel Canadian Pharmacy.”

L’infrastructure de botnet qu’il utilise actuellement n’est pas claire, mais Severa est toujours l’administrateur du service de spam sur plusieurs forums clandestins, proxénète ses services de spam, remarquablement sous la plupart des mêmes prix qu’il leur proposait en 2008.

Contacté par message instantané et présenté avec les preuves, Severa a tout nié, affirmant qu’il n’avait fait que de petits envois opt-in, qu’il n’avait jamais utilisé de botnet et qu’il avait quitté l’entreprise depuis des années. Interrogé sur son faux programme d’affiliation antivirus, Severa a déclaré qu’il ne se rendait pas compte que son programme antivirus était faux et qu’il ne connaissait personne du nom de Sabelnikov, ni même Ralsky. Lorsqu’on lui a présenté la capture d’écran ci-dessous – qui montre Severa se plaignant sur Spamdot de la façon dont son courtier s’est enfui et qu’il a dû trouver un nouveau sponsor pour spammer des penny stocks quelques jours seulement après l’arrestation de Ralsky en janvier 2008 – Severa a déclaré que quelqu’un d’autre devait avoir utilise son compte Spamdot.

« La vérité est que certaines personnes partagent des serveurs, un compte spamdot et d’autres comptes de forum [in] ces années », a-t-il expliqué. Il a donné la même réponse lorsqu’on l’a interrogé sur la capture d’écran montrant qu’il louait le serveur utilisé pour contrôler Waledac.

Kelihos n’est peut-être pas complètement parti. Stone-Gross a déclaré avoir récemment découvert un échantillon de logiciel malveillant qui semble être un autre programme d’installation pour Kelihos.

« Les gars qui gèrent ces botnets gagnent beaucoup d’argent », a déclaré Stone-Gross. « Ils ne vont pas simplement s’asseoir et dire: » Oh non, ils ont supprimé notre botnet, abandonnons notre entreprise. Ils utiliseront des programmes d’affiliation payants pour réinfecter plus de machines et réactiver le botnet.

Severa écrit : « En raison de problèmes avec Ralsky, mon courtier s’est enfui avec deux autres personnes qui pouvaient fournir des actions. Je suis obligé de chercher de nouveaux contacts. Alors – JE CHERCHE UN SPONSOR D’ACTION « 

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *