Les articles précédents de ma série Pharma Wars ont identifié les principaux piliers derrière certains des plus grands botnets de spam. Le message d’aujourd’hui fait cela et plus encore, y compris des informations inédites sur « Google », le principal pirate derrière le botnet de spam le plus actif au monde – Cutwail.
Statistiques de spam de décembre 2011 de M86Security
Pendant de nombreuses années, Cutwail a été parmi les trois premiers botnets de spam les plus prolifiques. Avec le récent démantèlement du botnet Rustock, Cutwail est désormais le meilleur robot de spam ; selon Sécurité M86les versions de Cutwail sont responsables d’environ 22 % des volumes de spam quotidiens dans le monde.
Les chercheurs en sécurité ont largement disséqué la machinerie technique qui alimente Cutwail (alias « Pushdo » et « Pandex »), mais jusqu’à présent, peu de choses ont été publiées sur le cerveau qui la sous-tend. breachtrace On Security a appris que l’individu principalement responsable du développement et de la location de cette machine criminelle à d’autres mécréants était l’un des principaux générateurs d’argent pour SpamItjusqu’à récemment, le plus grand programme d’affiliation de pharmacies Internet escrocs au monde.
Au moment où il a rejoint SpamIt au début de 2007, le pirate nommé Google avait déjà passé plusieurs années à peaufiner son botnet de spam. Quelques mois seulement avant sa fermeture en octobre 2010, SpamIt a été piraté et les données de ses clients et affiliés ont été divulguées en ligne. Les données montrent que Google a utilisé près d’une douzaine de comptes affiliés chez SpamIt et a gagné près de 175 000 $ en commissions en faisant la publicité des pharmacies en ligne voyous de SpamIt avec l’aide de Cutwail.
Mais Google gagnerait beaucoup plus d’argent en louant son botnet à d’autres spammeurs, et les affiliés de SpamIt sont rapidement devenus sa plus grande clientèle. Fait intéressant, les propriétaires de SpamIt ont initialement demandé l’aide de Google non pas pour spammer les pharmacies malhonnêtes, mais pour lancer un nouveau programme d’affiliation appelé Warezcash pour vendre des logiciels « OEM » – principalement des copies piratées de Microsoft Windows et d’autres titres de logiciels coûteux.
Cette relation est évidente à partir de centaines de journaux de discussion entre Google et le co-fondateur de SpamIt Dmitry « Saintd » Stupin. Les conversations faisaient partie de milliers d’heures de journaux obtenus par les enquêteurs russes de la cybercriminalité qui ont examiné l’ordinateur de Stupin. Les chats ont ensuite été divulgués en ligne et offrent un rare aperçu des opérations quotidiennes de Cutwail du point de vue du botmaster. Ils fournissent également des indices alléchants sur l’identité réelle de Google et de ses collègues. Des extraits de ces conversations apparaissent ci-dessous, traduits de leur russe d’origine en anglais par des locuteurs natifs russes.
LA MACHINE À COUPE
Certaines des meilleures analyses techniques de Cutwail ont été publiées plus tôt cette année dans un article de chercheurs du Université de Californie, Santa Barbara et Ruhr-Université de Bochumlequel décrit en détail comment le botnet Cutwail a été exploité, loué et promu sur les forums exclusifs SpamIt. À partir de leur papier (PDF):
« Le moteur de spam Cutwail est connu dans les forums de spam sous le nom 0bulk Évolution de la psyché, où il est loué à une communauté d’affiliés de spam. Ces affiliés paient des frais aux botmasters de Cutwail afin d’utiliser leur infrastructure de botnet. En retour, les clients ont accès à une interface Web (disponible en russe ou en anglais) qui simplifie le processus de création et de gestion des campagnes de spam… »
Les enregistrements d’affiliation de SpamIt montrent que Google s’est inscrit au programme en utilisant l’adresse e-mail [email protected] (Selon les enregistrements WHOIS historiques, le nom de domaine psyche-evolution.com a été enregistré en 2005 par cette même adresse e-mail, auprès d’une organisation appelée « 0bulk corp. » à Moscou).
Dans plusieurs conversations avec Stupin, Google décrit comment lui et ses copains sont passés au spam en pharmacie quand promouvoir les actions via le spam devenu moins lucratif. Lors d’une discussion le 25 février 2007, Google a déclaré qu’il « louait des logiciels pour le spam », à des programmes d’affiliation de spam concurrents « Mailien », « Bulker » et « Aff Connection », et que tous ses clients avaient réussi à convertir trafic vers les ventes. « Nous avons spammé des actions, mais maintenant, les actions ont commencé à mal se convertir, nous avons donc décidé de spammer en parallèle avec certains programmes d’affiliation. Nous avons organisé les gens, leur avons donné des tâches à faire. Nous les spammons depuis une semaine seulement, mais je pense que nous ferons du bien.
Dans un chat du 16 août 2007, Google explique comment utiliser le botnet Cutwail :
1) Accès à l’interface : http://208.72.173.10:3571/login.cgi
2) Statistiques et chargeur : http://208.66.194.231:3081/ldr/vn.cgi
3) Manuel sur notre logiciel : http://208.72.173.10:3571/man.cgi
4) Contacts d’assistance technique/adresses ICQ personnelles pour l’assistance :
198922489 – Soutien psychique 1
468559240 – Soutien Psyché 2
481896712 – Soutien Psyché 3
353149439 – Psyché Sypport 4
5) Contact du gestionnaire : il gère les questions sur les paiements et toutes les questions non techniques, ainsi que les questions concernant les réclamations concernant le logiciel et le support technique, ICQ : 43266131
6) Forum de support technique : http://psychetalk.com, Login saintd, Mot de passe : VeryNice
L’alliance de Google avec SpamIt cimenterait rapidement le botnet Cutwail en tant que principal concurrent. Le 7 septembre 2007, Google s’est vanté auprès de Stupin que son logiciel malveillant avait « atteint la 14e place » des menaces de logiciels malveillants les plus répandues de Kaspersky, collant ce lien dans la conversation. Kaspersky Labs a confirmé que le Trojan Downloader.Win32.Agen.brk répertorié au n ° 14 dans cet index est l’un des alias d’un cheval de Troie téléchargeur utilisé pour déployer Cutwail.
L’IDENTITÉ DE GOOGLE RÉVÉLÉE ?
Selon les journaux de Stupin, les administrateurs de SpamIt craignaient que Google ne soit pas assez mature pour gérer une opération aussi importante, notant dans une discussion que Google n’aurait que 25 ans environ. Peu de temps après cette conversation, le 14 mai 2007, Stupin et Google ont convenu de tenir une réunion en face à face à Moscou pour discuter du partenariat OEM Warezcash. Dans ce chat, Google demande à Stupin de l’appeler sur son numéro de portable, qu’il donne comme +7-916-4444474.
Ce même numéro de téléphone est lié aux enregistrements historiques d’enregistrement du site Web pour plusieurs domaines, y compris antirootkit.ru, einfinity.ru, electronicinfinity.ruhoha.ru, lancelotsoft.comet ssbuilder.ru. Dans chaque dossier, le nom du déclarant initial est « Dmitri S Nechvolod», et le numéro de téléphone de contact est le +7-916-4444474.
Selon le site Web de la société de logiciels russe Groupe de développeurs Digital Infinity (le moteur de recherche Google signale actuellement diginfo.ru comme malveillant), Nechvolod fait partie d’une équipe de développeurs et est décrit comme un « administrateur de systèmes basés sur UNIX (ATT/BSDi) », un « administrateur de routeurs Cisco », et « un spécialiste des logiciels de sécurité de l’information ».
Il n’est pas clair si Nechvolod est le vrai nom de Google, un pseudonyme ou simplement une mauvaise direction intelligente pour impliquer quelqu’un d’autre. Mais il existe d’autres liens intéressants : spam.hoha.ru a été à un moment donné répertorié comme un endroit fiable pour louer des campagnes de spam de masse, du moins selon plusieurs membres participant à cette discussion sur le forum des webmasters russes.
Le meilleur indice à l’appui d’une connexion entre Google et Nechvolod provient probablement des données de paiement que Google lui-même a fournies à SpamIt. Google a demandé aux administrateurs de SpamIt d’envoyer ses paiements d’affiliation via WebMoney, une monnaie virtuelle très populaire en Russie et en Europe de l’Est. Il a demandé que ses commissions soient versées au Porte-monnaie WebMoney Z046726201099. Selon une source qui a la capacité de rechercher des informations d’identité liées aux comptes WebMoney, les informations personnelles fournies lors de l’ouverture de ce compte en 2004 étaient :
Нечволод Дмитрий Сергеевич (« Nechvolod Dmitry Sergeyvich »)
• Passeport – 4507496669
• Date d’émission (ММ/JJ/AAAA) – 23/07/2004
• Lieu d’émission – Moscou/Russie
• Délivré – District ATS Cheryomushki
• Date de naissance (comme sur le passeport) – 9 juillet 1983
• Courriel – [email protected]
• Téléphone – +7 9164444474
Un autre lien fort fourni par Google (le moteur de recherche Google, pas le spammeur) provient de l’un des domaines enregistrés auprès de Nechvolod — einfinity.ru. En 2006, un Stanislav se présentant comme recruteur pour une société appelée « E-infinity » a posté un message au forum des programmeurs russes Delphimaster.net qu’il cherchait des programmeurs UNIX pour travailler dans un bureau E-infinity à Moscou. Stanislav a demandé aux candidats intéressés de le contacter au numéro ICQ 903445.
L’équipe Digif.ru
Les enregistrements des affiliés de SpamIt montrent qu’en septembre 2007, un nouveau spammeur s’est inscrit avec les noms d’utilisateur Feliz/Aigle fournir l’adresse e-mail [email protected] et ICQ 903445 comme ses coordonnées. Les journaux de chat ICQ de Stupin montrent que le 3 septembre 2007, Stupin a contacté le responsable de Google (ICQ 43266131, voir ci-dessus) au sujet d’un problème urgent, se plaignant de ne pas avoir pu joindre Google ou deux des membres habituels du personnel d’assistance de Google par ICQ ou par téléphone. Le responsable dit qu’il va essayer d’entrer en contact avec le directeur technique au sein de l’exploitation de Google, un hacker qui utilise le nom d’écran Aigle. Quelques minutes plus tard, Stupin reçoit un message instantané d’Eagle, qui utilise le numéro ICQ… attendez….. 903445.
Se souvenir du page sur Diginf.ru référencée ci-dessus qui répertorie Dmitry Nechvolod comme administrateur système ? Cette même page répertorie un Stanislav Kouznetsov comme un autre membre de l’équipe. Quel est l’e-mail de Stanislav ? [email protected].
ÉVOLUTION DU CRIMEWARE
Pour diverses raisons, le spam n’est plus aussi répandu qu’il l’était autrefois. Selon un rapport récent (PDF) de Symantecseuls 70 % des e-mails envoyés dans le monde étaient des spams en novembre 2011, le taux le plus bas depuis le FAI voyou McColo a été fermé fin 2008. A cette époque, environ 90 % des e-mails étaient indésirables.
Cutwail a peut-être commencé comme un véhicule populaire pour l’envoi de spams destinés aux hommes et aux logiciels OEM, mais ces dernières années, il s’est transformé en un canon anti-spam majeur pour les logiciels malveillants. De nos jours, il semble plus souvent impliqué dans l’envoi d’e-mails qui tentent d’inciter les destinataires à ouvrir des pièces jointes chargées de logiciels malveillants, le plus souvent des variantes des chevaux de Troie ZeuS et SpyEye.
Les informations obtenues par BreachTrace.com montrent que dès 2009, le botnet de Google a été embauché par un gang ukrainien de cyberfraude connu sous le nom d’équipe JabberZeuS pour aider à diffuser des e-mails malveillants que le gang a utilisés pour mener un certain nombre de cyber braquages lucratifs.
Plus récemment, Cutwail a été vu envoyer des campagnes de spam malveillantes avec une variété de thèmes tels que les commandes de billets d’avion, les paiements capricieux de la chambre de compensation automatisée (ACH), Notifications Facebook, et des documents numérisés. Le 19 décembre, Microsoft a mis en garde contre une campagne Cutwail qui explosait attaques de rançongiciels qui utilisait des informations sur l’emplacement géographique du destinataire pour adapter le leurre par e-mail, qui usurpait diverses organisations nationales d’application de la loi et avertissait les victimes qu’elles faisaient l’objet d’une enquête pour possession de pornographie juvénile.