[ad_1]

Luis Corrons passé une grande partie de l’année dernière à aider Espagnol police avec une enquête qui a conduit à l’arrestation de trois hommes locaux soupçonnés d’exploiter et de louer l’accès à un réseau massif et mondial d’ordinateurs piratés. Puis, environ 60 jours après leur arrestation, quelque chose d’étrange s’est produit : deux d’entre eux se sont présentés de manière inattendue au bureau de Corrons et ont demandé à être embauchés comme chercheurs en sécurité.

Corrons, directeur technique et blogueur d’une société de sécurité espagnole Sécurité Pandaa déclaré avoir reçu la visite des pirates le matin du 22 mars. Les deux hommes, connus sous les surnoms en ligne « Netkairo » et « Ostiator », ont été arrêtés en février par la police espagnole pour leur rôle présumé dans la gestion du « Mariposa ». botnet, une plate-forme de distribution de logiciels malveillants qui diffuse des logiciels malveillants sur plus de 12 millions d’adresses Internet dans 190 pays (mariposa signifie « papillon » en espagnol).

Maintenant, ici, les deux conservateurs de Mariposa étaient au siège de Panda à Bilbao, leurs CV en main, mendiant pratiquement pour un emploi, a déclaré Corrons.

« Au début, je ne pouvais pas y croire et je pensais que quelqu’un au bureau me faisait une blague », a déclaré Corrons. «Mais ces gars-là étaient les vrais gars, et ils étaient sérieux.

« Ostiator m’a dit : ‘Le truc, c’est qu’avec tout ce qui se passe, nous ne gagnons pas d’argent en ce moment », se souvient Corrons. « Il a dit : ‘Nous avons pensé que nous pourrions rechercher une sorte d’accord dont les deux parties bénéficieraient. Nous pensons que nous avons des connaissances [that] pourrait être utile à Panda et j’ai pensé que nous pourrions avoir une sorte d’accord avec Panda.

La police espagnole ne divulgue généralement pas les noms des personnes arrêtées, et Netkairo et Ostiator n’ont encore été inculpés d’aucun crime. Mais Corrons a reconnu que les noms et adresses sur les CV correspondaient à ceux que la police avait identifiés comme des résidences appartenant à Netkairo et Ostiator.

Corrons a déclaré que les avocats de Panda n’étaient pas disposés à divulguer les noms complets des deux hommes qui ont visité Panda Labs, mais a déclaré que le prénom d’Ostiator était Juan Jose, et qu’il s’agit d’un homme de 25 ans originaire de Saint-Jacques-de-Compostelle. Corrons a déclaré que Netkairo est un homme de 31 ans de Balmaseda nommé Florentio.

Peu de temps après l’annonce des arrestations, les médias espagnols locaux mentionné le troisième individu arrêté par les autorités espagnoles en lien avec Mariposa – un homme de 30 ans identifié par ses initiales « JPR » – a utilisé le surnom de pirate informatique « Johny Loleante » et vivait à Molina de Segura, Murcie.

Le 3 mars, j’ai eu l’occasion d’interviewer Capitaine César Lorenzana, chef adjoint de la division de la criminalité technologique de la Garde civile espagnole. Lorenzana a déclaré à breachtrace.com que Netkairo et son associé gagnaient environ 3 000 euros par mois en louant le botnet Mariposa à d’autres pirates.

Interviewant les mêmes hackers moins de trois semaines plus tard, Corrons leur a demandé comment ils avaient commencé à créer Mariposa.

« En gros, ils ont dit qu’ils avaient commencé comme une sorte de passe-temps et qu’ils ne travaillaient pas à l’époque », a déclaré Corrons. « Soudain, ils ont commencé à gagner de l’argent, quelques centaines d’euros par semaine pour commencer, puis ont découvert qu’ils ne pouvaient pas s’arrêter. Et pendant tout ce temps, leur réseau n’a cessé de croître.

Corrons a déclaré qu’il avait dit au couple qu’il n’y avait vraiment aucun moyen pour son entreprise de les embaucher, mais qu’il demanderait tout de même à son patron.

« Je leur ai dit, ‘Je ne suis pas sûr de ce que vous pensiez, mais utiliser Mariposa comme carte de visite n’est pas vraiment d’une grande aide, bien au contraire en fait' », a déclaré Corrons. « J’ai dit: ‘Eh bien, je ne peux rien promettre [and] le fait que tu sois derrière Mariposa ne jouera pas en ta faveur, même si de toute façon je n’ai pas le dernier mot. J’en parlerai à la direction de Panda.’”

Corrons a déclaré que la réunion s’était terminée peu de temps après, et plus tard dans la soirée, il a remarqué qu’il avait deux Nouveau abonnés sur Twitter. L’un des nouveaux abonnés, un utilisateur nommé « FLOXTER_SEC », lui a envoyé quelques jours plus tard un message disant « s’il vous plaît, ne [sic] oubliez-nous, tout le monde mérite une seconde chance. Le nom attaché à ce profil Twitter est un « Florencio Carro » (les autorités espagnoles ont déclaré que les véritables initiales de Netkairo étaient FCR).

LA DEUXIÈME RENCONTRE

Corrons a déclaré qu’il n’avait plus eu de contact direct avec les deux pirates jusqu’au 12 avril, lorsqu’une personne se faisant appeler Netkairo l’a appelé au travail.

« Il m’a dit : ‘Écoute, j’appelle parce que Juanjo [Ostiator] insiste pour que je vienne vous voir », a déclaré Corrons. « Il nous a demandé de travailler à nouveau pour nous et a dit: » Nous voulons juste savoir – comme vous n’avez pas répondu – si vous envisagez de nous embaucher ou non? «  »

Corrons a déclaré avoir rencontré à nouveau Netkairo dans les bureaux de Panda, mais a déclaré qu’il avait répété sa déclaration précédente selon laquelle l’entreprise ne pouvait pas embaucher quelqu’un qui avait été accusé de gérer un botnet.

« Alors il me dit: » Mais nous n’avons toujours pas été inculpés « , se souvient Corrons. « Je lui ai dit : ‘Ça n’a pas d’importance… le simple fait que tu sois impliqué est un problème quand il s’agit de travailler pour n’importe quelle entreprise de sécurité sérieuse.’ Et ce qu’il a ensuite sorti en dit long sur lui. Il a dit: « Oui, mais personne d’autre ne le sait. »

Lorsqu’il est devenu clair que Panda n’était pas intéressé à l’embaucher, Netkairo a changé d’avis, a déclaré Corrons, affirmant qu’il avait trouvé des vulnérabilités dans le logiciel anti-virus cloud de l’entreprise et laissant entendre qu’il prévoyait de publier les informations. Plus tard dans la semaine, quelqu’un a ouvert un blog sur Google Blogspot en utilisant le nom de compte « NeTK » et a publié une vidéo intitulée Panda Cloud Antivirus Detection Bypass POC.

Pour sa part, Corrons rejette la vidéo, affirmant qu’elle ne fait que montrer le résultat évident de la déconnexion d’une solution antivirus d’Internet.

NETKAIRO RÉPOND

Joint par e-mail et message instantané, Netkairo a déclaré qu’il était limité dans ce qu’il pouvait discuter de son cas pour le moment. Il a reconnu avoir visité Panda et demandé un emploi là-bas, disant qu’il était complètement fauché maintenant que leur machine à gagner de l’argent Mariposa avait disparu.

Mais il a déclaré que l’estimation de Panda de 12 millions de PC infectés par le botnet Mariposa était extrêmement gonflée.

« Je peux dire qu’ils [have] 100 fois les vrais chiffres juste pour faire du bon marketing », a écrit Netkairo dans un e-mail. « La taille réelle de mariposa était d’environ 100 000, [and] pic d’environ 500 000 à 900 000 machines au total.

Netkairo a déclaré que Panda n’avait pas pris en compte la prévalence des adresses Internet dites « dynamiques », où le même ordinateur se voit attribuer plusieurs adresses Internet sur une période de temps.

Corrons a déclaré que l’estimation de 12 millions n’a jamais été censée signifier des PC individuels distincts, et que la société a pris soin de noter qu’il ne parlait que du nombre d’adresses Internet uniques qu’il voyait associées à Mariposa.

UN PEU DE CONNAISSANCE EST UNE CHOSE DANGEREUSE

Que le nombre réel d’ordinateurs infectés par Mariposa soit d’un million ou de 12 millions, le botnet a extrait d’énormes quantités de données personnelles des systèmes infectés. La police espagnole a déclaré que Mariposa avait aidé des escrocs à voler des données sensibles à plus de 800 000 victimes, y compris des particuliers, des entreprises, des agences gouvernementales et des universités dans au moins 190 pays.

Le botnet a été loué à des criminels en tant que plate-forme de livraison pour l’installation de logiciels malveillants tels que le cheval de Troie ZeuS qui vole des données et des barres d’outils payantes à l’installation. Panda a déclaré que le gang avait également volé directement sur les comptes bancaires des victimes, en utilisant des mules d’argent aux États-Unis et au Canada, et blanchi de l’argent volé via des sites Web de jeux en ligne.

Mariposa illustre à quel point les pirates malveillants peuvent causer des dommages ces jours-ci avec juste un minimum de savoir-faire. Corrons a déclaré que Netkairo et Ostiator lui avaient dit que s’ils maintenaient effectivement le botnet Mariposa, ils n’avaient pas développé le code du botnet et avaient relativement peu de compétences techniques. Un hacker de la clandestinité criminelle qui connaît les activités de Netkairo a déclaré que les propriétaires de botnets avaient généré de nombreuses installations pour leur bot en semant des copies empoisonnées de logiciels piratés sur des réseaux de partage de fichiers peer-to-peer.

Selon la police espagnole, l’affaire a éclaté lorsqu’un des membres du gang Mariposa a commis une erreur d’amateur : accéder aux réseaux de contrôle du botnet directement depuis son adresse Internet personnelle au lieu d’anonymiser sa connexion en la relayant via un maillage de systèmes tiers. .

Peut-être que Netkairo est si audacieux parce qu’il ne croit pas qu’il verra l’intérieur d’une cellule de prison pour ses crimes. En effet, les autorités espagnoles admettent qu’il peut être extrêmement difficile de mettre les hommes en prison, même s’ils sont condamnés lors d’un procès.

« En Espagne, ce n’est pas un crime de posséder et d’exploiter un botnet ou de distribuer des logiciels malveillants », a déclaré le capitaine Lorenzana à breachtrace en mars. « Donc, même si nous parvenons à prouver qu’ils utilisent un botnet, nous devrons prouver qu’ils volaient également des identités et d’autres choses, et c’est là que nos axes d’enquête se concentrent actuellement. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *