[ad_1]

Près de quatre ans après son irruption sur la scène des logiciels malveillants, le célèbre Grum le botnet spam a été déconnecté d’Internet. Grum a toujours été parmi les trois plus grands crachoirs de courrier indésirable, une machine criminelle capable de faire exploser 18 milliards de messages par jour et responsable de l’envoi d’environ un tiers de tous les spams.

Source : Symantec Message Labs

Le retrait, bien que attendu depuis longtemps, est un autre exemple bienvenu de ce que l’industrie de la sécurité peut accomplir en coopération et sans l’aide des responsables de l’application des lois. La première couverture médiatique de cet événement a attribué à tort une partie du retrait aux autorités néerlandaises, mais la police néerlandaise a déclaré qu’elle n’était pas impliquée dans cet effort mené par l’industrie.

L’embuscade Grum a commencé sérieusement il y a plusieurs semaines début juillet, à la suite d’une analyse publiée par la société de sécurité FireEyeune société basée à Milpitas, en Californie, qui a joué un rôle important dans les précédentes suppressions de botnets, notamment Mega-D/OzdokRustock, Srizbi.

Atif Mushtaqscientifique senior chez FireEye, a déclaré que la société avait un premier succès en informant les FAI qui hébergeaient des réseaux de contrôle pour Grum : le FAI néerlandais Écatel a répondu favorablement en débranchant deux serveurs de contrôle. Mais Mushtaq a déclaré que les FAI où Grum hébergeait ses autres serveurs de contrôle – des réseaux en Russie et au Panama – se sont avérés plus difficiles à convaincre.

Source : Trustwave.com

« J’ai envoyé le CERT russe [computer emergency response team] des avis d’abus concernant ces réseaux de commande et de contrôle sur les FAI russes et ils nous ont envoyé un e-mail en une seule ligne disant « Ce ne sont pas nos adresses IP », a déclaré Mushtaq, faisant référence aux adresses Internet des serveurs de contrôle Grum qui fonctionnaient sur les FAI russes. Mais FireEye a réussi à faire appel au fournisseur d’accès Internet en amont du FAI russe, qui a coupé sa connexion à quelque 256 adresses Internet dans la zone des contrôleurs Grum russes.

Les sociétés d’hébergement panaméennes ont emboîté le pas, mais l’effort de retrait a subi un revers temporaire lorsque le ou les botmasters Grum ont mis en place des réseaux de contrôle de secours chez les FAI en Ukraine. Mais eux aussi ont rapidement été désactivés, laissant les robots Grum infectés sans aucun réseau de contrôle leur indiquant quoi faire.

« Selon les données provenant de Spamhaus, en moyenne, ils voyaient environ 120 000 adresses IP Grum envoyer du spam chaque jour, mais après le retrait, ce nombre est tombé à 21 505 », a écrit Mushtaq dans un article de blog de suivi. « J’espère qu’une fois les modèles de spam expirés, le reste du spam disparaîtra également. »

Et il a disparu, du moins selon les données enregistrées par MessageLabs de Symantec (voir graphique en haut de cet article).

On ne sait toujours pas si la ou les personnes responsables de Grum seront un jour traduites en justice. Grum a longtemps été associé au spam faisant la promotion de pharmacies Internet voyous, et en février, j’ai publié une longue analyse des données divulguées par deux des plus grands programmes d’affiliation de spam de pharmacie montrant les revenus et les informations d’identité possibles du botmaster Grum. Cette analyse a lié les activités et les bénéfices de Grum à un pirate informatique qui utilisait le surnom de « Gera » et dont les comptes de paiement étaient liés à un Russe nommé Nikolaï Alekseevitch Kostogriz (voir graphique ci-dessous pour plus de détails sur Gera).

Une «carte mentale» que j’ai créée pour aider à rassembler des données sur GeRa et ses associés.

À cette époque, Grum était le botnet de spam le plus actif au monde, selon les statistiques maintenues par Laboratoires de sécurité M86société acquise depuis par Trustwave. Très peu de temps après la publication de mon article d’enquête sur Grum, BreachTrace.com a été la cible d’une attaque par déni de service distribué (DDoS) assez importante. J’ai récemment appris que l’attaque avait été lancée par le botnet Grum, suggérant que les découvertes étaient un peu trop proches pour le(s) botmaster(s) Grum.

Brett Stone-Grosschercheur principal en sécurité pour la société basée à Atlanta Dell Secure Works, a analysé une copie du logiciel malveillant Grum de cette époque et a découvert qu’il ordonnait à tous les systèmes infectés de visiter 94.228.133.163 (l’adresse IP de breachtrace.com). Le nom de fichier inexistant que les bots Grum devaient récupérer sur mon site était « fuckingyou^^/9590899.php ».

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *