Plus tôt cette semaine, j’ai écrit sur le Styx Pack, un kit de logiciels criminels extrêmement sophistiqué et de plus en plus populaire qui est vendu pour aider les malfaiteurs à piéger des sites Web compromis avec des logiciels malveillants. Aujourd’hui, je vais suivre une piste de fil d’Ariane qui mène au centre de l’Ukraine et à un trio d’amis qui semblent être responsables de la commercialisation (sinon de la fabrication) de ce crimeware-as-a-service.
Comme je l’ai noté dans l’histoire de lundi, ce qui est remarquable à propos de Styx, c’est que si la plupart des kits d’exploitation sont vendus sur des forums souterrains privés et semi-privés, Styx a été commercialisé et vendu via un site Web régulier : styx-crypt[dot]com. Les colporteurs de ce service ont supprimé leur site quelques heures seulement après la publication de mon histoire, mais versions du site mises en cache par archive.org détenir des indices importants sur qui est responsable de la vente de ce produit.
Au fond de la page d’accueil archivée de styx-crypton peut voir deux bannières cliquables pour un compte en monnaie virtuelle Webmoney auquel les clients potentiels de Styx devront envoyer de l’argent afin d’acheter une licence pour le logiciel. Le compte Webmoney #268711559579 appartient à un Numéro de porte-monnaie Webmoney Z268711559579. Suivez ce lien et vous verrez que le nom d’utilisateur enregistré attaché à ce porte-monnaie est « Ikar. » Si nous regardons de plus près, nous pouvons voir que le porte-monnaie Webmoney d’Ikar est connecté à un autre porte-monnaie sur le compte Webmoney 317426476957, qui est ce sac à main appartenant à un utilisateur nommé « Nazar.” (Mise à jour : 11 juillet, 22h14 : Ikar et Nazar ont changé les noms de leurs comptes Webmoney après la diffusion de cette histoire. Heureusement, archive.org a mis en cache les anciennes données. Les liens vers les bourses ci-dessus ont été modifiés en conséquence.)
Ikar et Nazar sont tous deux des surnoms qui ont été utilisés dans les discussions de vente Styx sur plusieurs forums clandestins, y compris damagelab[dot]org, secnull[dot]cc et antichat[dot]ru. Dans ces discussions, Ikar a utilisé l’adresse de contact « [email protected]« , tandis que Nazar a énuméré »[email protected]“. Les deux adresses sont associées à des comptes de forum nommés « Ikar » et « Renzor » (pour des exemples, voir cette page en cache traduite par Google du compte de Renzor sur antichat.ru, et cette page en cache de secnull[dot]cc). L’adresse de Nazar est liée à un profil « Max Lighter » sur Facebook, mais peu d’informations supplémentaires sont disponibles sur ce profil.
[email protected] ne semble pas être connecté à quoi que ce soit de spécial, mais l’adresse de Nazar a été utilisée comme point de contact pour enregistrer deux domaines très intéressants : réalité7solutions.com et uptimer.biz. En regardant le familier ressemblant à un trou de ver en haut de reality7solutions.com, j’ai remarqué qu’il ressemblait beaucoup à l’icône tournante (vidéo youtube.com) utilisé par le pack Styx.
La page d’accueil de Reality7solutions.com répertorie une adresse aux États-Unis pour une société appelée Systèmes EPAMqui, selon le répertoire des entreprises tenu par Aspirateurs est une société publique spécialisée dans l’externalisation informatique. Hoovers indique que la société fournit « le développement de logiciels et d’autres services informatiques à des clients américains et européens, principalement à partir de centres de développement en Russie, en Biélorussie, en Hongrie, en Ukraine, au Kazakhstan et en Pologne ».
Le numéro ICQ indiqué sur la page d’accueil de reality7solutions.com fait parti à un professionnel de la conception de sites Web de Khmelnitski, Ukraine nommé Stanislav Shangin. Si nous regardons Schangin page personnelle où il répertorie tous les sites Web qu’il a été chargé de créernous pouvons voir qu’il a conçu les deux crypte du styx[dot]com et réalité7solutions.com, parmi des dizaines d’autres sites. Shangin n’a pas répondu aux demandes de commentaires.
J’avais l’impression d’être dans une impasse avec Shangin, alors j’ai jeté un coup d’œil à l’autre domaine enregistré sur [email protected] – uptimer.biz. Il s’agit d’un site conçu pour aider les entreprises à surveiller si et quand leurs sites se déconnectent pour une raison quelconque. Sa page d’accueil comporte une icône cliquable qui vous amène au compte Webmoney susmentionné de Nazar, Z317426476957. Le site est enregistré auprès d’un Nazar Stodolya en Ukraine. Une paire d’offres d’emploi publiées sur free-lancer.net par un Nazar Stodolya utilisant la même adresse [email protected] semble avoir cherché quelqu’un pour aider avec le site uptimer.biz. Mais je soupçonne que Nazar Stodolya n’est qu’un pseudonyme (tiré de un vieux film de l’ère soviétique du même nom).
En creusant plus profondément sur la page de contact de uptimer.biz, un numéro ICQ a été révélé – 102566867. Selon la page de profil de cette adresse ICQ, le compte appartient à un « Maxim », un programmeur xtreme accro à l’informatique autoproclamé « qui utilise le surnom » FonMax « et répertorie fonmax.km.ua comme sa page d’accueil.
Le « KM » dans Km.ua est le sous-domaine utilisé par le Khmelnitski région du centre de l’Ukraine (d’où vient notre ami développeur Shangin). Fonmax.km.ua est enregistré auprès d’un Maxime Gavryuk de Khmelnitski. Le blog Livejournal de Max, fonmax.livejournal.com, comprend plusieurs photographies de lui et près de 100 articles de blog s’étalant sur plusieurs années. De même, un compte pour « FonMax » sur le forum des développeurs russes ecomstation.ru répertorie un Maxim Gavryuk comme son propriétaire.
Il s’avère que Maxim et Stanislav Shangin (le concepteur de styx-crypt[dot]com) sortent socialement et sont amis ; consultez la capture d’écran suivante, tirée d’un article sur le blog LiveJournal de Max du 14 juin 2009 intitulé « Essay on How I Spent My Weekend, or Birthday Report ».
Mais qu’en est-il de Nazar ? Je n’ai pas vu d’utilisateur nommé « Nazar » sur la liste d’amis de Maxim’s LiveJournal, alors j’ai vérifié les amis de Shangin. Effectivement, un compte LiveJournal du nom de « Nazar » faisait partie des 198 amis de Shangin.
La page de profil de Nazar n’indique pas son vrai nom, mais dit qu’il vit à Kiev, en Ukraine et utilise l’adresse e-mail [email protected], et le compte ICQ 21205001. Il se trouve que cette même adresse e-mail yandex a été utilisée pour créer un profil Facebook pour un certain Alexander Nazarenko. Apparemment, Nazar est également un concepteur Web expérimenté.
Revenons à Maxim (Ikar ?) pour une seconde : l’un des messages LiveJournal de Max (via Google Traduction) est particulièrement intéressant. En août 2011, Max a publié un article sur le domaine Livejournal.com qui a été mis hors ligne à la suite d’une attaque par déni de service (rappelez-vous que uptimer.biz – l’un des deux sites enregistrés auprès du copain de Shangin, Nazar, est un service conçu pour vous faire savoir si votre le site est hors ligne). Le message commence par la photo d’un grand agent de sécurité qui ressemble à un videur. À la fin de cette entrée de blog, Max suggère que peut-être Livejournal devrait envisager d’embaucher quelqu’un pour les protéger de attaques par déni de service distribué (DDoS)et il mentionne une opération en particulier : antiddos.biz. Il propose même de fournir des codes d’invitation pour ceux qui sont intéressés par le service.
Si vous n’avez pas jeté un coup d’œil au post de Renzor/Ikar sur antichat.ru auquel j’ai lié ci-dessus, regardez-le ici. Notez que le message a été publié à peu près au même moment que le message de Maxim de 2011 sur la panne de LiveJournal, et commence par la même photo du vigoureux agent de sécurité. Dans ce document, l’affiche fait la publicité de « Reality Guard », un service « d’hébergement à l’épreuve des balles » conçu pour protéger les entreprises contre les attaques par déni de service.