Pierre Iourievitch Levashovun programmeur informatique russe de 37 ans considéré comme l’un des chefs de file du spam les plus notoires au monde, a été extradé vers les États-Unis pour faire face à des accusations fédérales de piratage et de spam.
Levashov, sur une photo non datée.
Levashov, qui aurait porté les noms des hackers « Pierre Sévéra, » et « Pierre de la Nord« , est originaire de Saint-Pétersbourg, dans le nord de la Russie, mais il a été arrêté l’année dernière alors qu’il se trouvait à Barcelone, en Espagne, avec sa famille.
Les autorités soupçonnent depuis longtemps qu’il est le cybercriminel à l’origine du botnet de spam autrefois puissant connu sous le nom de Waledac (alias « Kelihos »), une souche de logiciels malveillants aujourd’hui disparue responsable de l’envoi de plus de 1,5 milliard d’attaques de spam, de phishing et de logiciels malveillants chaque jour.
Selon une déclaration libéré par le Département américain de la justice, Levashov a été interpellé vendredi dernier devant un tribunal fédéral de New Haven, Ct. L’avocat new-yorkais de Levashov Igor Litvak a déclaré qu’il était impatient d’examiner les preuves contre M. Levashov, et que tant que l’acte d’accusation contre son client est disponible, la plainte dans l’affaire reste scellée.
« Nous n’avons reçu aucune découverte, nous n’avons aucune idée de ce sur quoi le gouvernement s’appuie pour porter ces allégations », a déclaré Litvak. « Monsieur. Levashov clame son innocence et attend avec impatience de résoudre cette affaire, d’effacer son nom et de rentrer chez lui auprès de sa femme et de son fils de 5 ans en Espagne.
En 2010, Microsoft – en collaboration avec un certain nombre de chercheurs en sécurité – a lancé une attaque sournoise combinée technique et juridique sur le botnet Waledac, le démantelant avec succès. L’entreprise ferait plus tard la même chose avec le botnet Kelihos, une machine à spam mondiale qui partageait une grande partie du code informatique avec Waledac.
Severa louait régulièrement des segments de son botnet Waledac à quiconque cherchait un moyen d’envoyer du spam. Pour 200 $, les utilisateurs contrôlés pourraient louer son botnet pour faire exploser un million de spams. Les campagnes de courriers indésirables vantant les mérites de l’emploi ou les escroqueries par « money mule » coûtent 300 $ par million, et les e-mails de phishing pourraient être diffusés via le botnet de Severa pour la modique somme de 500 $ par million.
Waledac est apparu pour la première fois en avril 2008, mais de nombreux experts pensent que la machine à cracher du spam n’était qu’une mise à jour du ver Storm, le moteur derrière un autre botnet de spam massif qui a fait surface pour la première fois en 2007. Waledac et Storm étaient tous deux d’importants distributeurs de spam pharmaceutique et malveillant. .
Selon Microsoft, en un seul mois, environ 651 millions de spams attribuables à Waledac/Kelihos ont été dirigés vers des comptes Hotmail, y compris des offres et des escroqueries liées à des pharmacies en ligne, des produits d’imitation, des emplois, des penny stocks, etc. Le botnet du ver Storm a également envoyé des milliards de messages par jour et infecté environ un million d’ordinateurs dans le monde.
Waledac / Kelihos et Storm étaient tous deux extrêmement innovants car ils incluaient chacun des mécanismes d’autodéfense conçus spécifiquement pour contrecarrer les chercheurs en sécurité qui pourraient essayer de démanteler les machines criminelles.
Waledac et Storm ont envoyé des mises à jour et d’autres instructions via un système de communication peer-to-peer qui n’est pas sans rappeler les services populaires de musique et de partage de fichiers. Ainsi, même si les chercheurs en sécurité ou les responsables de l’application des lois parviennent à saisir les serveurs de contrôle back-end du botnet et à nettoyer un grand nombre de PC infectés, les botnets pourraient se régénérer en relayant les mises à jour logicielles d’un PC infecté à un autre.
FAUSSES NOUVELLES
Selon une longue histoire d’avril 2017 dans Wired.com À propos de l’arrestation de Levashov et du démantèlement de Waledac, Levashov s’est fait prendre parce qu’il avait violé un non-non de sécurité de base : il a utilisé les mêmes identifiants de connexion pour gérer son entreprise criminelle et se connecter à des sites comme iTunes.
Après l’arrestation de Levashov, de nombreux médias ont cité sa femme disant qu’il était arrêté dans le cadre d’un coup de filet visant des pirates informatiques russes soupçonnés d’être impliqués dans une ingérence présumée dans les élections américaines de 2016. Les médias russes ont fait beaucoup de cas de cette affirmation. En contestant son extradition vers les États-Unis, Levashov a même aurait a déclaré à l’agence de presse russe RIA qu’il travaillait pour Le président russe Vladimir Poutinedu parti Russie unie, et qu’il mourrait dans l’année suivant son extradition vers les États-Unis.
« Si je vais aux États-Unis, je mourrai dans un an », aurait déclaré Levashov. « Ils veulent obtenir des informations de nature militaire et sur le parti Russie unie. Je serai torturé, dans un an je serai tué ou je me tuerai.
Mais il n’y a jusqu’à présent aucune preuve que quiconque ait accusé Levashov d’être impliqué dans l’ingérence électorale. Cependant, le botnet Waledac/Kelihos a une association historique avec l’ingérence électorale : il a été utilisé lors des élections russes en 2012 pour envoyer des messages politiques à des comptes de messagerie sur des ordinateurs avec des adresses Internet russes. Ces e-mails liés à de fausses nouvelles dire que Mikhaïl D. Prokhorovun homme d’affaires qui se présentait à la présidence contre Poutine, s’était déclaré gay.
LES PARTENAIRES DE SEVERA
Si Levashov devait plaider coupable dans l’affaire poursuivie par les autorités américaines, cela pourrait faire la lumière sur l’identité réelle d’autres grands spammeurs.
Severa a travaillé en étroite collaboration avec deux grands fournisseurs de spam. L’un était Alan Ralskyun spammeur américain qui était condamné en 2009 de le payer, ainsi que d’autres spammeurs, pour promouvoir les escroqueries aux actions de pompage et de vidage.
L’autre était un spammeur qui s’appelait « Côme« , le cybercriminel considéré comme responsable de la gestion du Rustock botnet (ainsi nommé parce qu’il s’agissait d’un botnet russe fréquemment utilisé pour envoyer des spams de type pompe et vidage). En 2011, Microsoft a offert une récompense de 250 000 $ encore non réclamée pour les informations menant à l’arrestation et à la condamnation de l’auteur de Rustock.
Le modérateur de Spamdot.biz, Severa, liste les prix pour louer son botnet de spam Waledac.
Microsoft pense que le vrai nom de Cosma pourrait être Dmitri A. Sergeev, Artem Sergueïevou Sergueï Vladomirovitch Sergeev. En juin 2011, BreachTrace a publié un bref profil de Cosma qui comprenait le CV et la photo de Sergeev, qui indiquaient tous deux qu’il était un programmeur biélorusse qui avait déjà cherché un emploi chez Google. Pour en savoir plus sur Cosma, voir « Flashy Car Got Spam Kingpin Mugged ».
Severa et Cosma s’étaient rencontrés plusieurs fois au cours de leurs années passées ensemble dans le secteur du spamming boursier, et ils semblent s’être connus assez intimement pour se nommer par leur prénom. Ces deux titans du courrier indésirable figurent en bonne place dans « Meet the Spammers », le 7ème chapitre de mon livre, Spam Nation : L’histoire intérieure de la cybercriminalité organisée.
Tout comme son proche associé – Cosma, le botmaster de Rustock – Severa peut également avoir une prime de 250 000 $ sur sa tête, bien qu’indirectement. Le ver Conficker, une contagion mondiale lancée en 2009 qui s’est rapidement propagée à environ 9 à 15 millions d’ordinateurs dans le monde, a suscité une réaction internationale sans précédent de la part des experts en sécurité. Ce groupe d’experts, surnommé la « Conficker Cabal », a cherché en vain à contenir la propagation du ver.
Mais malgré l’infection d’un grand nombre de systèmes Microsoft Windows, Conficker n’a jamais été utilisé pour envoyer du spam. En fait, la seule chose que les systèmes infectés par Conficker aient jamais faite a été de télécharger et de diffuser une nouvelle version du logiciel malveillant qui alimentait le botnet Waledac. Plus tard cette année-là, Microsoft a annoncé qu’il était offrant une récompense de 250 000 $ pour toute information menant à l’arrestation et à la condamnation du ou des auteurs de Conficker. Certains experts en sécurité pensent que cela prouve un lien entre Severa et Conficker.
Cosma et Severa étaient tous deux très actifs sur Spamit[dot]com, un forum autrefois bien gardé pour les spammeurs russes. En 2010, Spamit a été piraté et une copie de sa base de données a été partagée avec cet auteur. Dans cette base de données se trouvaient tous les messages privés entre les membres de Spamit, dont beaucoup entre Cosma et Severa. Pour en savoir plus sur ces conversations, consultez « Un examen plus approfondi de deux grands maîtres des robots ».
En plus de louer son botnet de spam, Severa a également géré plusieurs programmes d’affiliation dans lesquels il a payé d’autres cybercriminels pour distribuer de soi-disant faux produits antivirus. Également connu sous le nom de « scareware », le faux antivirus était à une certaine époque un fléau majeur, utilisant des alertes pop-up fausses et trompeuses pour tromper et piege a souris des utilisateurs d’ordinateurs peu méfiants à acheter des logiciels sans valeur (et dans de nombreux cas carrément nuisibles) déguisés en logiciels antivirus.
Une capture d’écran du programme d’affiliation éponyme de scareware géré par « Severa », prétendument l’alias cybercriminel de Peter Levashov.
En 2011, BreachTrace a publié Spam & Fake AV: Like Ham & Eggs, qui cherchait à illustrer les nombreuses façons dont l’industrie du spam et les faux antivirus se chevauchent. Cette analyse comprenait des données de Brett Stone-Grossun expert en cybercriminalité qui assistera plus tard Microsoft et d’autres chercheurs dans leurs efforts fructueux pour démanteler le botnet Waledac/Kelihos.
Levashov fait face à des accusations criminelles fédérales sur huit chefs d’accusation, y compris le vol d’identité aggravé, la fraude par fil, le complot et les dommages intentionnels aux ordinateurs protégés. L’acte d’accusation dans son affaire est disponible ici (PDF).
Lectures complémentaires : M. Waledac — Le Peter North du spam