Nate Anderson chez Ars Technica a une bonne histoire sur la façon dont les enquêteurs ont retrouvé «Virus», le surnom prétendument utilisé par un Roumain accusé par le ministère américain de la Justice d’avoir dirigé les opérations d’hébergement Web pour un groupe qui a créé et commercialisé le Gozi cheval de Troie bancaire. Il s’avère que je suis resté assis sur des détails fascinants sur ce fournisseur d’hébergement pendant de nombreux mois sans réaliser pleinement ce que j’avais.
Mercredi, les procureurs fédéraux ont dévoilé des accusations criminelles contre trois hommes qui auraient créé et distribué Gozi. Parmi eux se trouvait Mihai Ionut Paunescu, un ressortissant roumain de 28 ans accusé d’avoir fourni des services « d’hébergement pare-balles » au gang. L’hébergement à l’épreuve des balles est un terme Underweb pour un fournisseur d’hébergement qui hébergera pratiquement n’importe quel contenu, des sites de phishing et de cardage aux centres de commande de botnet et aux kits d’exploitation de navigateur. Après avoir lu l’histoire d’Ars, j’ai regardé de plus près la plainte de Paunescu (PDF), et plusieurs détails ont immédiatement attiré mon attention.
D’une part, les fédéraux disent que Paunescu était un administrateur de powerhost.ro ([email protected]). En décembre 2011, une source a partagé avec BreachTrace plusieurs vidages massifs de la base de données de ce serveur, qui avait apparemment été piraté. Cette archive comprenait une capture d’écran du panneau d’administration du serveur powerhost.ro. Il décrit visuellement de nombreux détails décrits dans l’acte d’accusation et la plainte du gouvernement contre Paunescu, tels que la façon dont le fournisseur BP hébergeait plus de 130 serveurs et qu’il facturait des prix exorbitants – parfois plus de 1 000 euros par mois pour un seul serveur.
La capture d’écran ci-dessus (qui est un extrait tiré de cette version plein écran) montre que ce serveur a été utilisé pour des projets qui étaient « 50% SBL », ce qui signifie qu’environ la moitié des propriétés qu’il contient étaient répertoriées sur le Liste de blocage de Spamhaus (SBL), qui signale les sites Web qui participent à des activités malveillantes en ligne, en particulier en envoyant ou en bénéficiant de spam et en hébergeant des logiciels malveillants. Certains des noms choisis pour les serveurs sont assez révélateurs, tels que « darkdeeds1 », « darkdeeds2 », « phreak-bots » et « phis1 ». Le vidage de données de powerhost.ro comprenait plusieurs sites de « dépôt », où les botnets ZeuS et SpyEye déposaient des mots de passe, des informations de compte bancaire et d’autres données volées à des dizaines de milliers de PC victimes.
Paunescu est bien sûr innocent jusqu’à preuve du contraire. Mais à la lecture de l’acte d’accusation du gouvernement contre lui, il est clair que s’il est le méchant que le gouvernement allègue, il n’a pas été très prudent en cachant ses activités. Quelques secondes après avoir recherché en ligne des détails sur les adresses Internet liées aux opérations de powerhost.ro, j’ai trouvé cet enregistrement, qui inclut son nom complet et le répertorie en tant que propriétaire. Aussi, une simple recherche Google sur powerhost.ro indique que Paunescu est le propriétaire légitime de l’espace d’adressage attribué à powerhost.ro.
Dans la capture d’écran ci-dessus, nous pouvons voir plusieurs serveurs sur powerhost.ro qui ont été loués à des malfaiteurs qui dirigeaient le Remorquage programme d’affiliation de pharmacie et de réplique. TowPow s’est présenté comme un fournisseur d’hébergement à l’épreuve des balles qui était «fabriqué par des spammeurs, pour des spammeurs» et accepterait tout type de trafic.
« TowPow ne ressemble à aucun autre système d’affiliation. Tow Pow propose non seulement des pages de destination de qualité, mais également des domaines et un hébergement GRATUITS à l’épreuve des balles pour vos besoins de spam », a lu une publicité pour le programme d’affiliation publiée sur un forum clandestin en mars 2010. « Vous n’aurez pas à vous soucier de tout. plaintes ou que la chaleur vous revienne, Tow Pow s’occupera de tout.
Stéphane Sauvageprofesseur à l’Université de Californie, Département d’informatique et d’ingénierie de San Diego, a déclaré que les affiliés de TowPow étaient une énorme source de courrier indésirable.
« Ils possédaient essentiellement le marché américain des répliques faisant l’objet de publicités pour spam, et ils semblent également dominer le marché des plantes médicinales », a déclaré Savage.
Parmi les fichiers divulgués par powerhost.ro se trouvait l’intégralité de la base de données d’affiliation de TowPow. On ne sait pas qui a exécuté TowPow, ou si « Virus » était en quelque sorte impliqué dans les opérations quotidiennes au-delà de l’hébergement, mais la base de données TowPow SQL (enregistrée sous le nom de « blue4rep90_felon.sql ») comprend une section « tickets » où les utilisateurs pouvaient soumettez des demandes d’aide, passez des commandes pour l’hébergement ou transmettez des instructions spéciales pour le câblage des fonds.
Par exemple, dans le message suivant, un affilié contacte les administrateurs du programme et demande qu’un nouvel hébergement soit configuré pour gérer les botnets ZeuS. En être témoin:
(72, 61, ”, ‘Salut !rnJ’ai besoin d’un lien BP pour le site Zeus !rnMerci’, ”, ‘Web’, ‘80.232.219.254’, ‘2011-07-18 16:59:42 ‘, NUL)
Cet utilisateur, « Daniel Mihai », apparaît dans toute la base de données :
(58, 49, ”, ‘infos fil :rniban : RO23INGB0000999901772881rntitulaire du compte : Dan Mihai Danielrncode Wift :INGROBUrnnom de la banque ; ING Office Targoviste Independenteirnadresse de la banque :Bd .Independentei nr.3A, bl.T1, targoviste/dambovitarnrnveuillez m’imposer les frais de virement de 80 $’, ‘, ‘Web’, ‘82.137.10.254’, ‘2011-05-13 00 : 37:58’, NUL),
Certains des meilleurs affiliés de TowPow gagnaient des milliers de dollars par semaine en annonçant les sites à base de plantes et de répliques du programme via le spam :
Savage de l’UCSD a déclaré que la base de données TowPow indique que bon nombre de ses affiliés ont été référés par ZedCash, un autre programme de marketing d’affiliation fortement associé aux spams de répliques et de pharmacies à base de plantes. En fait, le principal référent a utilisé le surnom « TowPow » et le mot de passe « ZedCash ».
Selon Traqueurs de spam, ZedCash est géré par un hacker qui utilise le surnom « Ucraineanu ». Fait intéressant, ce surnom apparaît comme « Ucraina2 » dans la capture d’écran de powerhost.ro ci-dessus à côté de l’un des serveurs que TowPow a loués pour 400 USD par mois. Savage note que la base de données TowPow montre quels membres ont exécuté le programme, et qu’en haut de la liste se trouve un membre qui a utilisé l’adresse e-mail « [email protected] ».
INSERT INTO `requestaffiliate` (`raid`, `raemail`, `referrer`,
`radate`, `rastatus`) VALEURS
(159, ‘[email protected]’, ‘279’, ‘2010-05-25’, 1),
(160, ‘[email protected]’, ‘1050’, ‘2011-01-15’, 1),
(161, ‘[email protected]’, ‘1050’, ‘2011-01-15’, 0),
(162, ‘[email protected]’, ‘1050’, ‘2011-01-15’, 0),
(163, ‘[email protected]’, ‘1092’, ‘2011-05-30’, 1),
(164, ‘[email protected]’, ‘1111’, ‘2011-10-30’, 1);