Il y a un an aujourd’hui, Pomme a publié une mise à jour logicielle pour stopper la propagation du Ver de retour de flammeune souche de malware qui a infecté plus de 650 000 Mac OS X systèmes utilisant une vulnérabilité dans la version d’Apple de Java. Cet anniversaire quelque peu lugubre est probablement le moment idéal pour publier quelques indices que j’ai recueillis au cours de l’année écoulée et qui indiquent l’identité réelle du créateur du ver Flashback.
Avant de plonger dans les détails granuleux, un petit retour sur cette contagion insidieuse s’impose. Un très détaillé document de recherche (PDF) publié l’année dernière par une société de sécurité finlandaise F-Secure met l’impact et la menace de Flashback en perspective, notant que le malware s’est vanté d’une série de « premières » en son genre. Pour commencer, Flashback a été le premier logiciel malveillant OS X à être «conscient de VMware» – ou à savoir quand il était exécuté dans un environnement virtuel (une astuce conçue pour frustrer les chercheurs en sécurité). Il a également été le premier à désactiver XProtect, le programme de protection contre les logiciels malveillants intégré à OS X. Ces fonctionnalités, combinées à sa capacité à se propager à travers une vulnérabilité alors non corrigée dans Java, ont rendu Flashback à peu près aussi courant pour les Mac que le Ver Conficker était pour les fenêtres PC.
« Cela signifie que Flashback n’est pas seulement le malware OS X le plus avancé, mais aussi le plus réussi que nous ayons jamais vu », a écrit F-Secure. Broderick Ian Aquilino.
La rédaction de F-Secure répond à une question importante que l’on ne trouve pas dans d’autres analyses : à savoir, quel était le but apparent de Flashback ? En termes simples : pour rediriger les résultats de Google vers des annonceurs tiers, le tout au profit de l’auteur. Son nom est dérivé du fait qu’il s’est propagé à l’aide d’une astuce d’ingénierie sociale consistant à présenter à l’utilisateur OS X une fausse invite d’installation de Flash Player. F-Secure note que ce même comportement – à la fois l’astuce d’ingénierie sociale Flash et la redirection vers de faux sites Google qui ont servi des résultats de recherche pour des annonceurs tiers qui ont profité à l’auteur – a également été trouvé dans le malware QHost, suggérant que Flashback a peut-être été la prochaine évolution du malware Mac QHost.
Référencement NOIR
Il y a un an, j’ai publié une série qui cherchait à identifier les pirates informatiques réels derrière les principaux botnets de spam. En utilisant à peu près la même méthodologie, j’ai pu identifier et localiser un jeune homme en Russie qui semble (et prétend en privé) être l’auteur de Flashback. Il se trouve que cet individu traîne sur bon nombre des mêmes forums que les meilleurs spammeurs du monde (mais plus à ce sujet à un autre moment).
Étant donné l’accent mis par Flashback sur les réseaux publicitaires de jeu de Google, je soupçonnais que l’auteur du ver était probablement un membre clé des forums qui se concentrent sur ce qu’on appelle le « Black Hat SEO » (optimisation des moteurs de recherche), ou a appris de manière illicite à jouer avec les moteurs de recherche et manipuler les revenus publicitaires. Effectivement, cet individu se trouve être un membre très actif et fondateur de BlackSEO.comun forum de langue russe étroitement surveillé dédié à ce sujet.
Ci-dessous, une capture d’écran tirée d’un message privé entre un utilisateur « VIP » nommé « Mavook » et un membre du forum sur BlackSEO.com. La conversation a eu lieu le 14 juillet 2012. Une traduction approximative de leur conversation est superposée à la capture d’écran expurgée, mais fondamentalement, elle montre Mavook demandant au membre senior de l’aider à accéder à Darkode.comun forum sur la cybercriminalité en anglais assez exclusif (et dont j’ai parlé dans une histoire plus tôt cette semaine).
« Mavook », membre de BlackSEO.com, revendique la responsabilité de créer Flashback à un membre senior du forum.
Mavook demande à l’autre membre de lui obtenir une invitation à Darkode, et Mavook est chargé de rédiger une brève biographie indiquant ses réalisations et de sélectionner un surnom à utiliser sur le forum s’il est invité. Mavook répond que le pseudo Darkode ne devrait pas être facilement lié à son personnage BlackSEO et suggère le surnom « Macbook ». Il déclare également qu’il est le «créateur du botnet Flashback pour Mac» et qu’il se spécialise dans «la recherche d’exploits et la création de bots».
Le membre senior auquel Mavook fait appel est assez bien connu dans la clandestinité russe de la cybercriminalité, et ces deux individus se connaissent également bien. En fait, dans un échange séparé sur le forum principal BlackSEO entre le membre senior et un utilisateur BlackSEO nommé JPS, le membre senior recommande Mavook comme un gars qui connaît son affaire et sur qui on peut compter pour produire des outils d’attaque fiables.
Dans la conversation capturée ici à gauche, on peut voir JPS demander au membre senior du forum des recommandations sur des personnes fiables qui vendent des packs d’exploits uniques, des kits d’outils logiciels conçus pour être intégrés à des sites Web piratés et exploiter les vulnérabilités courantes des navigateurs Web. JPS dit qu’il est à la recherche d’un professionnel capable de fournir des taux d’exploitation décents.
« Je n’ai pas le temps (et aucune envie) d’errer dans les chats et d’y discuter avec des hackers sympas », a déclaré JPS. « J’ai besoin de vérifier le trafic en termes d’exploitabilité, et à l’avenir, si tout va bien, je peux travailler en continu » avec l’expert engagé.
Le membre senior dit à JPS de demander à Mavook. « Si Mavook ne bouge pas en disant qu’il ne fait plus ce genre de choses, écrivez-moi à nouveau. »
QUI EST MAVOOK ?
Si nous examinons de plus près la page de profil de Mavook sur BlackSEO.com, nous pouvons voir qu’il est un membre de longue date, remontant à 2005, lorsqu’il était le 24e membre inscrit sur BlackSEO (sur des milliers). Le profil de Mavook montre également que sa page d’accueil personnelle était à un moment donné mavook.com. Les enregistrements d’enregistrement WHOIS pour mavook.com ont longtemps été cachés par les services commerciaux de protection de la vie privée WHOIS, mais j’ai trouvé l’enregistrement WHOIS original pour ce domaine en utilisant l’indispensable service WHOIS historique maintenu par domaintools.com. Ces enregistrements montrent que le domaine a été initialement enregistré en 2005 par un Maxime Selikhanovitch à Saransk, la capitale de Mordovieune république dans la région orientale de la plaine d’Europe orientale de la Russie.
L’adresse e-mail utilisée pour enregistrer mavook.com était « [email protected] » (le deuxième caractère de l’adresse est un zéro). Une recherche de cette adresse e-mail dans la base de données des utilisateurs de Skype fait apparaître un utilisateur avec le nom d’écran « Maximsd ». Mavook a également utilisé l’adresse e-mail « [email protected] ». Cette adresse est liée à Maxim Selikhanovich à Saransk via les registres d’enregistrement du site Web aujourd’hui disparu. saransk-offline.comqui vendait à un moment donné des fichiers MP3 populaires pour quelques centimes chacun.
L’un des e-mails utilisés par Maxim pour ce site Web et un site connexe était « [email protected] », qui était le même e-mail utilisé pour enregistrer un compte Facebook maintenant supprimé sous un Maxim Selikhanovich de Saransk. Encore un autre site de vente de musique abandonné — mavook-mp3.com — était enregistré à un « Mavook aka Troxel » et à l’adresse [email protected] » utilisée pour mavook.com.
MACS, MAX et MAKS
Le dernier indice offre peut-être les détails les plus alléchants : l’adresse [email protected] est le point de contact enregistré pour une entreprise à Saransk appelée mak-rm.comle nom de domaine enregistré auprès d’une société d’externalisation informatique et de conception Web à Saransk appelée Société d’externalisation de Mordovie (la partie « mak » du nom vient de la version russe du nom de l’entreprise, qui est « ÌОРДОВСКАЯ ÀУТСОРСИНГОВАЯ КОМПАНИЯ »). Ce domaine est enregistré auprès d’un « Max D. Sell » à Saransk (voir une image en cache de la page d’accueil de mak-rm.com en 2010 à l’adresse Archives Internet).
Selon une source fiable qui a la capacité de rechercher des informations fiscales sur les citoyens et les sociétés en Russie, la Mordovia Outsourcing Company a été enregistrée et fondée par un Maxime Dmitrievitch Selihanovichun homme de 30 ans de Saransk, en Mordovie.