Hier, j’ai écrit sur la vitrine publique où n’importe qui peut louer l’accès à des ordinateurs infectés par TDSS, largement considéré comme l’un des botnets les plus grands et les plus complexes de la planète. Aujourd’hui, je vais m’intéresser de plus près à un individu russe qui semble avoir des liens étroits avec l’opération TDSS.
L’histoire de mardi a ramassé par le site news-for-nerds Slashdotet l’un des commentaires sur l’article a observé que la vitrine de TDSS – awmproxy.net – a un Google Analytics code intégré dans la page d’accueil. Ce code, UA-3816538est intégré à six autres sites Web, dont awmproxy.com (un clone de awmproxy.net), selon une recherche sur ReverseInternet.com.
En utilisant domaintools.com, j’ai pu trouver l’historique des enregistrements d’enregistrement du site Web pour awmproxy.com (les données historiques pour awmproxy.net sont masquées). Ces enregistrements montrent que le domaine a été enregistré le 27 février 2008 au nom d’un individu en Russie qui a utilisé l’adresse e-mail [email protected]. Un autre site Web avec le même code Google Analytics, pornxplayer.com (site hostile), inclut également cette adresse e-mail dans ses archives historiques. Awmproxy a commencé à proposer des procurations le 16 mars 2008.
Les enregistrements WHOIS indiquent également que [email protected] a été utilisé pour enregistrer fizot.com, un site qui n’est plus actif. Le nom donné par la personne qui a enregistré fizot.com était Galdziev Chingiz à Saint-Pétersbourg, en Russie. Ce même nom figure sur les registres d’enregistrement de fizot.orgmais fizot.org répertorie une adresse e-mail de contact différente : [email protected].
Googler pour l’adresse [email protected] apparaît un blog LiveJournal par un utilisateur nommé Fizot qui fournit une adresse e-mail de contact de [email protected]. Fizot n’est pas le blogueur le plus prolifique, mais il a 27 entrées de journal sur sa page et discute de tout, de la vie à Saint-Pétersbourg à gagner des millions de dollars.
Dans une entrée, Fizot raconte avoir acheté une voiture de sport avec un numéro de plaque d’immatriculation qui comprend le numéro de la bête : « 666 ». Il s’avère qu’il existe un Chaîne Youtube.com appartenant à un utilisateur nommé Fizot qui désigne le nom de domaine fizot.com comme son site Web personnel. Fizot n’a mis en ligne que quatre vidéos depuis la création du compte en juillet 2007. Parmi les vidéos figure un court métrage mis en ligne le 5 octobre 2007montrant un Porsche voiture avec la plaque d’immatriculation H666XK [N666HK in the Cyrillic alphabet] s’éloignant de la caméra dans le parking d’un centre commercial, avant de faire demi-tour et de retourner vers le cinéaste. Un couvercle de plaque d’immatriculation sous les étiquettes indique que le propriétaire de la voiture est ou était membre du club Porsche de Moscou.
Les assiettes de Fizot
Fizot n’est peut-être connecté que de manière tangentielle aux responsables de la construction et de la maintenance du botnet TDSS, mais il est probable que lui et certains de ses copains des clubs SPB et RU Auto connaître les parties responsables.
Mise à jour, 14 h 36 HE : Obtenir des informations supplémentaires de lecteurs utiles. Ce même code Google Analytics est présent sur le site dominadom.ru, qui semble être un bureau d’enregistrement de noms de domaine. De plus, cette même adresse [email protected] fournie par Fizot sur son blog LiveJournal était l’e-mail utilisé pour s’inscrire xvpn.ruun service VPN qui annonce « l’anonymat total sur le Net ».
Mise à jour, 16 h 54 HE : Il semble que Fizot ait supprimé presque tous les messages de son compte LiveJournal. Je m’attendais à ce qu’il fasse ça. Voici les versions en cache de sa page d’accueil et de sa page de contact sur LiveJournal. Il a également supprimé toutes ses vidéos Youtube, mais j’en ai fait des copies avant de publier cette histoire. Voici un lien vers la vidéo qui est capturée ci-dessus. En attendant, Fizot n’a plus qu’une seule entrée de blog sur sa page LiveJournal, dans laquelle il prétend avoir vendu le service AWMproxy il y a longtemps. Mais à qui ? Fizot écrit :
« Je n’ai aucun lien avec le projet awmproxy et je l’ai vendu il y a longtemps. Arrêtez de m’écrire et prenez la peine de contacter l’auteur. Je ne suis pas lié au projet awmproxy, car je l’ai vendu il y a longtemps. S’il te plaît, arrête de m’écrire et de m’embêter. Vous devez contacter le propriétaire de la ressource.
Si vous avez aimé cette histoire, veuillez envisager de lire Rent-a-Bot Networks Tied to TDSS Botnet.