Une guerre d’usure de style Wikileaks entre deux gangs de pharmacies Internet voyous concurrents a exposé certains des plus grands spammeurs de la planète. Les dernières victimes ? Plusieurs personnes probablement responsables de la course Grumactuellement le botnet de spam le plus actif au monde.

Grum est le meilleur botnet anti-spam, selon M86Security
À l’été 2010, des pirates ont volé et divulgué la base de données pour SpamIt et Glavmé, des programmes apparentés qui payaient les gens pour promouvoir les pharmacies en ligne de nuit. Selon ces données, le deuxième affilié le plus performant de SpamIt était un membre surnommé « Géra.” Sur une période de 3 ans, les publicités de GeRa et celles de ses références ont généré au moins 80 000 ventes de produits pharmaceutiques contrefaits, rapporté des revenus de SpamIt de plus de 6 millions de dollars et lui ont rapporté, à lui et à ses amis, plus de 2,7 millions de dollars.
Diverses données indiquent que GeRa est le principal hacker derrière Grum, un botnet de spam qui peut envoyer plus de 18 milliards d’e-mails par jour et est le principal véhicule de plus d’un tiers de tous les e-mails indésirables..
Les pirates déterminés à saper SpamIt ont divulgué des milliers de discussions entre les membres de SpamIt et Dmitri Stupine, le co-administrateur du programme. Les chats montrent la communication quotidienne entre GeRa et Stupin ; les conversations portaient généralement sur la mise en place de nouvelles opérations de spam ou la résolution de problèmes avec l’infrastructure existante. En fait, Stupin remarquerait que GeRa était de loin le plus gênant de tous les principaux spammeurs du programme, disant à un collègue administrateur de SpamIt que « Ni Docent [Mega-D botmaster] ni Cosma [Rustock botmaster] peut se comparer à lui en termes de problèmes avec les hébergeurs.
Plusieurs de ces discussions montrent que GeRa signale des problèmes avec des adresses Internet spécifiques qui seraient plus tard signalées comme serveurs de contrôle pour le botnet Grum. Par exemple, dans une conversation avec Stupin le 11 juin 2008, GeRa publie un lien vers l’adresse 206.51.234.136. Puis, après avoir vérifié le serveur, il indique à Stupin combien de PC infectés téléphonaient à cette adresse à ce moment-là. Ce même serveur a identifié depuis longtemps en tant que contrôleur Grum.
À cette époque, Grum était devenu une menace si établie qu’il a été nommé dans le Top Spam Botnets Papier exposé publié par le chercheur Dell SecureWorks Joe Stewart. Le 13 avril 2008 – cinq jours seulement après la publication de l’analyse de Stewart – GeRa publierait un lien vers celle-ci dans une conversation avec Stupin, en disant « Haha, je suis aussi sur la liste! »
À peu près au même moment où la base de données de SpamIt a été divulguée, des pirates ont pillé les réseaux de ChronoPay, l’un des plus grands processeurs de paiement en ligne de Russie. Le haut dirigeant de l’entreprise, Pavel Vroubelvskyétait réputé pour avoir été le co-fondateur du plus grand concurrent de SpamIt – une opération de pharmacie voyous appelée Rx-Promotion. Les données divulguées par les pirates de ChronoPay comprenaient des e-mails montrant des dirigeants de ChronoPay transmettant des informations d’identification à la base de données administrative principale de Rx-Promotion.
BreachTrace.com a obtenu un ensemble de données complet montrant tous les sites annoncés par les affiliés de Rx-Promotion en 2010, ainsi que les revenus de chaque affilié. Cette information a été partagée avec plusieurs Université de Californie, San Diego chercheurs qui l’intégreront plus tard dans leur repère Cliquez sur l’étude Trajectoires (PDF) sur l’économie du commerce du spam. Les chercheurs ont passé quatre mois en 2010 à observer les principaux botnets de spam, en gardant une trace des programmes d’affiliation pharmaceutique promus par différents botnets de premier plan.
Les discussions GeRa-Stupin montrent qu’au moment où les chercheurs ont commencé à enregistrer les données, GeRa avait quitté SpamIt pour travailler pour Rx-Promotion. En effet, les chercheurs de l’UCSD ont découvert que Rx-Promotion et Grum étaient synonymes. Chaque pharmacie RX-Promotion inclut un « site_id » dans sa source HTML, qui identifie de manière unique le magasin pour l’attribution ultérieure de commissions publicitaires. Les chercheurs ont découvert que chaque fois que Grum faisait la publicité d’un site Rx-Promotion, cet identifiant était toujours le même : 1811. Selon la base de données divulguée de Rx-Promotion, cet identifiant d’affilié appartient à un utilisateur nommé « gera ».

Un petit extrait des ventes de GeRa sur les sites Rx-Promotion, qui portaient tous son ID d’affilié 1811 dans la source.
« Cela ne prouve pas que GeRa possédait Grum », a déclaré Stéphane Sauvage, professeur au sein du groupe systèmes et réseaux de l’UCSD et co-auteur de l’étude. « Mais cela montre que lorsque Grum a fait de la publicité pour Rx-Promotion, c’était pour des sites où des commissions étaient versées à quelqu’un dont le surnom était » GeRa « . »
QUI EST GERA ?
GeRa utilise le surnom alternatif « Ger@ » sur les forums Internet, y compris l’ancien Spamdot.biz, où les principaux spammeurs de SpamIt et des programmes concurrents se rassemblaient. Le moteur de recherche de Google ignore en grande partie le caractère « @ », ce qui rend difficile la recherche de ce surnom. Mais infiltrez suffisamment de communautés cybercriminelles sur invitation uniquement et vous finirez par trouver un utilisateur nommé Ger@ qui annonce qu’il achète du trafic.
GeRa achète régulièrement du trafic auprès d’autres botmasters et auteurs de logiciels malveillants qui contrôlent un grand nombre de PC piratés. Comme il l’a expliqué dans le message suivant sur un forum exclusif, les navigateurs victimes qui lui sont envoyés sont généralement acheminés vers des sites hébergeant un gant d’exploits conçus pour installer une copie de son robot de spam (voir ci-dessous).

Ger@ écrit : « Nous continuons à acheter tout votre trafic qui va à Eleonor (Exploit Pack) pour charger le spam bot… »
GeRa n’a pas répondu aux multiples demandes de commentaires envoyées par e-mail et ICQ. Il semble avoir été beaucoup plus prudent avec son identité que les autres meilleurs botmasters de SpamIt, mais il a laissé plusieurs indices alléchants. GeRa semble avoir utilisé un certain nombre de comptes affiliés distincts pour lui-même sur SpamIt (peut-être pour faire apparaître ses revenus inférieurs à ce qu’ils étaient réellement. Parmi ses comptes personnels figuraient « GeRa », « Kostog », « Scorrp », « Scorrp2″, » Scorrp3″, « UUU » et « DDD ».
GeRa a reçu des paiements de commission pour tous ces comptes à un WebMoney porte-monnaie avec l’ID # 112024718270. Selon une source qui a la capacité de rechercher des informations d’identité attachées aux comptes WebMoney, ce porte-monnaie a été créé en 2006 par quelqu’un qui est entré dans un bureau WebMoney à Moscou et a présenté un passeport russe # 4505016266. Le nom sur le passeport était un homme de 26 ans nommé Nikolaï Alekseevitch Kostogriz.
L’une des références les plus réussies de GeRa était une filiale de SpamIt qui utilisait le surnom « Anton » et l’ID WebMoney 186103845227. Les informations sur le passeport russe utilisé pour ouvrir ce compte étaient Vasily Ivanovitch Petrov. Selon les archives de SpamIt, Anton était le 18e affilié le plus précieux dans l’ensemble, générant des ventes de près d’un million de dollars et gagnant des commissions supérieures à 422 000 dollars.

Une « carte mentale » qui a aidé à rassembler des données sur GeRa et ses associés.
En regardant les revenus des spammeurs de SpamIt et de Rx-Promotion, il est difficile d’ignorer la remarquable asymétrie entre leurs revenus et le coût global du traitement des courriers indésirables. Aux États-Unis seulement, on estime que le spam coûte aux entreprises plus de 40 milliards de dollars par an en perte de productivité, en investissements anti-spam et en coûts connexes. En comparaison, l’ensemble du programme SpamIt a généré des revenus légèrement supérieurs à 150 millions de dollars sur une période de quatre ans, tandis que les spammeurs Rx-Promotion ont généré une fraction de ces revenus.

SpamIt, gains Glavmed sur la durée de vie des programmes.
Ceci est le dernier de ma série Pharma Wars. Au cas où vous les auriez manqués, consultez mes profils d’autres meilleurs botmasters, notamment :
M. Waledac : Le Peter North du spam
‘Google’, le Cutwail Botmaster
M. Srizbi contre M. Cutwail
Chats avec le propriétaire accusé du botnet « Mega-D » ?
Rustock Botnet Suspect cherche un emploi chez Google