En janvier de cette année, j’ai publié les résultats d’une enquête sur l’identité de l’homme derrière le tristement célèbre botnet de spam Srizbi. Le message d’aujourd’hui porte sur une personne probablement impliquée dans la gestion de l’ancien Botnet Xarvesterune machine à spam qui, selon les experts, est apparue peu de temps après la mise hors ligne de Srizbi et partageait des caractéristiques remarquablement similaires.
Dans cette capture d’écran de Spamdot.biz, Ronnie discute avec « Tarelka », le surnom de Spamdot utilisé par le botmaster de Rustock. Les deux discutent d’un rapport M86 sur les meilleurs botnets du monde.
Srizbi était également connu dans la clandestinité sous le nom de « Reactor Mailer », et les clients pouvaient s’inscrire au spam de la machine criminelle en se connectant à des comptes sur réacteurmailer.com. Ce domaine a été enregistré sur un [email protected]une adresse qui, selon mes informations, a été utilisée par un Philippe Pogosov. Plus connu sous son surnom MPSPogosov était l’un des plus gros créateurs d’argent pour SpamItun programme d’affiliation de pharmacies en ligne malhonnête qui a été à l’origine d’un énorme pourcentage de courriers indésirables au cours des cinq dernières années.
Lorsque réacteurmailer.com a été fermé, les clients de Srizbi ont été invités à se connecter à un nouveau domaine, réacteur2.com. Les enregistrements WHOIS historiques montrent que reactor2.com a été enregistré par quelqu’un utilisant l’adresse e-mail [email protected]. Comme je l’ai écrit en janvier, les enregistrements d’affiliation de SpamIt divulgués montrent que l’adresse [email protected] a été utilisée par un affilié de SpamIt nommé Ronnie qui a été référé au programme par SPM.
Le botnet Srizbi apparaîtrait peut-être comme la victime la plus importante du Démontage de McColo à la fin de 2008. À l’époque, tous les serveurs utilisés pour contrôler le botnet géant étaient hébergés chez McColo, un centre d’hébergement adapté au crime en Californie du Nord. Lorsque les fournisseurs en amont de McColo débranché dessus, ce fut le début de la fin pour Srizbi. SPM a cessé de spammer et s’est concentré sur sa société de jeux en ligne.
Mais selon un rapport publié en janvier 2009 par Sécurité M86 de Trustwave appelé Xarvester : le nouveau SrizbiXarvester (prononcé « moissonneuse ») était une machine à spam de pharmacie lié à SpamIt qui a émergé à peu près au même moment que Srizbi a disparu, et était très similaire dans sa conception et son fonctionnement. Il semble que SPM ait confié le contrôle de son botnet à Ronnie avant de quitter la scène du spam.
Plusieurs indices clés soutiennent un lien fort entre l’affilié de SpamIt Ronnie et Xarvester. Pendant quatre mois en 2010, des chercheurs du Université de Californie, San Diego a observé les principaux botnets de spam, en exécutant des échantillons dans un environnement de laboratoire contrôlé et en enregistrant les programmes d’affiliation de pharmacies promus par le spam envoyé par leur intermédiaire. Cette recherche a été publiée dans un document de recherche sans précédent appelé Trajectoires de clic (PDF).
J’ai demandé aux chercheurs de l’UCSD de revenir sur leurs données de bot de cette période et de me dire s’ils avaient vu des indices sur qui ou quoi des spammeurs ou des programmes d’affiliation de spam auraient pu profiter des courriers indésirables envoyés par le botnet Xarvester. Les chercheurs ont trouvé plusieurs exemples de spam provenant de Xarvester qui faisait la promotion de sites de pilules liés à SpamIt ; chacun de ces sites dont ils ont vu la promotion via Xarvester comprenait un identifiant d’affilié attribué à l’affilié de SpamIt, Ronnie.
Contrairement à son mentor SPM, Ronnie semble avoir été très prudent dans la protection de son identité. Ronnie avait au moins trois comptes affiliés distincts chez SpamIt enregistrés sur son adresse e-mail, et chacun de ces comptes recevait des commissions via des comptes séparés sur WebMoney, une monnaie virtuelle très populaire en Russie et en Europe de l’Est. Frustrant, toutes les informations d’identité liées à ces comptes WebMoney sont clairement fausses (ou du moins enregistrées dans l’équivalent anglais de « John Smith »).
Mais Ronnie a laissé deux indices qui pourraient offrir plus d’informations sur qui il est. Il était très actif sur Spamdot.biz, un forum clandestin exclusif détenu et exploité par les gars qui dirigeaient le programme d’affiliation de la pharmacie SpamIt. BreachTrace a depuis longtemps obtenu une copie de ce forum, et ces données montrent que la signature de Ronnie incluait toujours une publicité pour son site Web personnel – rtools.biz — un site actif qui vend des logiciels pour maintenir de grandes listes de diffusion. Le code source HTML de rtoolz.biz indique qu’il a été enregistré auprès de Google à l’aide d’un Code Google Analytics UA-25462922-1. Malheureusement, ce code UA n’apparaît sur aucun autre site que j’ai pu trouver.
Il y avait un autre indice que je pensais assez intéressant pour mentionner. Ronnie a utilisé plusieurs adresses e-mail, mais celle qu’il a utilisée pendant la plus longue période était [email protected]. Il s’avère que cette adresse e-mail a été utilisée en 2008 pour enregistrer le domaine sulab.ru, qui est une société d’électronique et de logiciels intégrés basée à Gatchina, en Russie, une ville située à environ 28 miles au sud de Saint-Pétersbourg. Le site était actif jusqu’à il y a quelques semaines, lorsque j’ai envoyé un e-mail au propriétaire. Quoi qu’il en soit, sulab.ru signifie « S. Yu Lab Ltd.” Le numéro de téléphone indiqué comme contact sur sulab.ru était le 8 (812)-951-20-91. Selon plusieurs annuaires, le propriétaire de cette société est une personne du nom SEmyon Yurievitch Rzhevsky (Семен Юрьевич Ржевский), de Gatchina, Russie.