Comment relater la lutte pour le contrôle d’un empire souterrain alors qu’aucun des combattants ne veut admettre qu’il se bat ou même qu’une guerre est en cours ? C’est la nature d’une querelle d’affaires devenue une guerre de territoire qui se joue actuellement entre les patrons de deux des plus grandes opérations pharmaceutiques illicites d’Internet.
Jeudi, j’ai écrit sur une source anonyme utilisant le pseudonyme « Despduck » qui a partagé une copie de la base de données principale pour Glavmed, alias « SpamIt », jusqu’à récemment le plus grand distributeur de produits pharmaceutiques génériques sur le marché noir sur Internet. La base de données indique que Glavmed a traité plus de 1,5 million de commandes de plus de 800 000 consommateurs qui ont acheté des contrefaçons de médicaments sur ordonnance entre mai 2007 et juin 2010.
Despduck a d’abord présenté les données de Glavmed par l’intermédiaire d’une source mutuelle dans la communauté anti-spam, et a affirmé que le propriétaire présumé du programme de pharmacie, un homme d’affaires russe nommé Igor Gusev, serait bientôt accusé d’activités commerciales illégales. Effectivement, vers la fin de septembre 2010, Des responsables russes ont annoncé une enquête criminelle sur Gusev et ses entreprises. Peu de temps après que ces accusations ont été portées, SpamIt.com a été fermé. Par conséquent, le volume de spams circulant dans les boîtes de réception du monde entier a chuté de manière précipitée, probablement parce que les affiliés de SpamIt.com sont entrés dans une période de transition vers d’autres réseaux de pharmacies.
Gusev est maintenant en exil de Russie ; il attribue sa situation actuelle – et la fuite des données Glavmed – à son ancien partenaire commercial, son compatriote moscovite Pavel Vroublevski. Ce dernier est l’un des fondateurs du géant russe du paiement électronique ChronoPayune société que Gusev a également contribué à fonder il y a près de huit ans (selon les documents de constitution que j’ai obtenus de la Chambre de commerce néerlandaise – où ChronoPay a été créé – pendant un certain temps, Gusev et Vrublevsky étaient partenaires à 50/50 dans ChronoPay).
Comme indiqué dans mon histoire plus tôt cette semaine, des dizaines de milliers de documents internes et d’e-mails volés à ChronoPay et divulgués à des personnes clés suggèrent que Vrublevsky gère un réseau de pharmacies en ligne concurrent appelé Rx-Promotion. Il s’avère que la base de données Glavmed a été volée à peu près au même moment que la violation de ChronoPay.
Vrublevsky nie être la source de la base de données Glavmed/SpamIt dérobée, mais l’abondance de documents ChronoPay divulgués suggère le contraire. Les enregistrements de courrier électronique incluent les messages envoyés vers et depuis une boîte de réception qui utilisait le nom d’affichage « Kill Glavmed ». Quelle était l’adresse e-mail liée à ce nom ? « [email protected] », la même adresse utilisée pour communiquer avec ma source anti-spam.
Également dans les e-mails divulgués de ChronoPay se trouve un long fil de messages dans une boîte de réception marquée « vrublevsky » qui détaille une négociation avec un individu nommé « Nooder Tovreance ». Dans l’échange multi-e-mail, qui commence le 8 avril 2010 et se termine début juin, Tovreance propose de vendre la base de données Glavmed pour 20 000 $, mais dit qu’il devra diviser les transferts de fichiers en plusieurs petits morceaux en raison de la taille de la base de données. Les deux se sont finalement mis d’accord sur un prix de 15 000 $, avec le premier paiement de 7 500 $ effectué sur un porte-monnaie Webmoney spécifié par Tovreance en échange de la moitié des fichiers, et le montant restant payable à la réception de l’intégralité de la base de données.
SpamIt.com a peut-être disparu, mais le programme Glavmed récompense toujours les affiliés pour la promotion des sites de pharmacie. Pendant ce temps, un certain nombre de propriétés en ligne gérées par Gusev font l’objet d’attaques presque constantes. Joe Stewartchercheur principal en sécurité pour SecureWorksrécemment sorti un document dans lequel il décrit la composition et les activités des meilleurs botnets de spam au monde, ou des agglomérations de PC piratés du type généralement utilisé pour relayer les courriers indésirables faisant la publicité de sites de pharmacies voyous.
L’un des botnets de spam dans l’analyse de Stewart, un réseau de 60 000 bots surnommé « Festi » a été « développé comme un déni de service distribué (DDoS) plate-forme, et a été vu ces dernières semaines lancer des attaques contre d’autres sites russes. J’ai demandé à Stewart une liste des sites qu’il a vu Festi attaquer ; la liste est assez courte et comprend six sites Glavmed / Canadian Pharmacy, ainsi que gofuckbiz.com et armadaboard.com, forums affiliés dont Vrublevsky a déclaré à plusieurs reprises qu’il soupçonne qu’ils sont détenus et exploités par Gusev. L’autre site que Stewart a trouvé attaqué par Festi était redeye-blog.comun blog quotidien écrit par Gusev qui diffuse des documents ChronoPay divulgués et des commérages sur Vrublevsky.