BreachTrace a obtenu un regard exclusif sur les opérations de back-end du récemment détruit Grum botnet anti-spam. Il semble que cette machine criminelle était plus grande et plus complexe que de nombreux experts l’avaient imaginé. Il semble également que mes recherches précédentes sur l’identité du botmaster Grum aient été ciblées.
La page « Statistiques » d’un panneau de configuration du botnet Grum montre que plus de 193 000 systèmes ont été infectés par le logiciel malveillant.
Une source de la communauté des FAI qui a demandé à rester anonyme a partagé une copie d’une installation de serveur Web utilisée comme contrôleur pour le botnet Grum. Ce contrôleur contenait plusieurs années de données sur les opérations du botnet, ainsi que des statistiques détaillées sur la taille de la machine à spam juste avant son retrait.
Au moment de la disparition de Grum à la mi-juillet 2012, il était responsable de l’envoi d’environ un spam sur six livrés dans le monde et capable de faire exploser 18 milliards de spams par jour. Les militants anti-spam de Spamhaus.org a estimé qu’il y avait environ 136 000 adresses Internet qui envoyaient du spam pour Grum.
Mais selon la base de données maintenue sur ce serveur de contrôle Grum avant sa déconnexion à la mi-juillet, plus de 193 000 systèmes ont été infectés par l’une des trois versions du code Grum, un malware qui a transformé les systèmes hôtes en zombies crachant du spam. Le système semble avoir suivi les machines infectées non pas par adresse Internet mais avec un identifiant unique pour chaque PC, bien qu’il ne soit pas immédiatement clair comment le système de botnet Grum a dérivé ou vérifié ces empreintes digitales d’identification.
Certaines des listes de diffusion de Grum. La plupart des listes contenaient plus de 20 millions d’adresses.
L’interface Web utilisée pour contrôler le botnet s’appelait « Zagruska Systems » (« zagruska » est une translittération du mot russe « загрузка », qui signifie « télécharger »). Le code HTML sur le serveur inclut le message « Spam Service Coded by -= ( Spiderman) ».
Le mot de passe utilisé pour administrer l’interface Web du botnet était « a28fe103a93d6705d1ce6720dbeb5779 » ; c’est un hachage MD5 du mot de passe « megerasss ». Fait intéressant, ce mot de passe principal contient le nom Géra, que j’ai déterminé dans une histoire d’enquête antérieure était le surnom utilisé par le botmaster Grum. Le nom Gera est également utilisé comme titre pour l’une des nombreuses classes de en-têtes d’e-mails falsifiés que le botnet disposait pour envoyer du courrier indésirable ; d’autres titres pour les types d’en-tête falsifiés comprenaient les noms « Chase », « eBay » et « Wachovia », suggérant un angle de phishing possible.
Ce serveur de contrôle Grum hébergeait également des listes d’adresses e-mail incroyablement volumineuses – plus de 350 Go en tout. Il y avait des dizaines de listes d’adresses e-mail distinctes sur le serveur de contrôle Grum, dont beaucoup contenaient entre 20 et 60 millions d’adresses e-mail chacune. Je n’ai pas été en mesure de déterminer combien d’adresses e-mail uniques ou actives étaient contenues dans ces fichiers, mais un décompte rapide de 60 fichiers de liste d’adresses différents trouvés dans un répertoire sur le serveur a montré qu’ils contenaient plus de 2,3 milliards d’adresses.
La plupart des courriers indésirables envoyés par Grum concernaient des publicités faisant la promotion de pharmacies Internet et de répliques de montres malveillantes, bien qu’il y ait des indications selon lesquelles le botnet a été utilisé à un moment donné en 2011 pour distribuer des logiciels malveillants déguisés en notification d’expédition DHL.
En fouillant davantage autour de ce serveur de contrôle, il a révélé qu’il contenait les informations sur les clients de plus de 1,3 million de commandes passées dans des pharmacies Internet voyous entre février 2006 et mars 2010. Les informations de commande pour les magasins de pilules en ligne se trouvaient dans un dossier sur le système appelé « Rx ». -Partenaires », suggérant qu’il s’agissait d’enregistrements appartenant au programme d’affiliation de spam de pharmacie du même nom. La base de données comprend les numéros de commande, les dates, le type de médicament acheté, la force, la quantité, le prix, le pays du client et l’adresse e-mail, entre autres informations. J’aurai plus de détails sur cet aspect du trésor de données Grum dans un prochain article.
Le serveur comportait plusieurs modèles pour falsifier les « en-têtes » des e-mails dans ses spams.