Au cours des 18 derniers mois, j’ai publié une série d’articles qui fournissent des indices sur les identités réelles possibles des hommes responsables de la construction de certains des botnets de spam les plus importants et les plus perturbateurs de la planète. Depuis, j’ai creusé un peu plus dans les antécédents des individus soupçonnés d’être responsables de la Rustock et Waledac spam botnets, qui a produit des détails supplémentaires fascinants et corroborants sur ces deux personnages.
En mars 2011, BreachTrace présentait des détails inédits sur les comptes financiers et les surnoms utilisés par le botmaster Rustock. Cette histoire était basée sur des informations divulguées par SpamIt, une entreprise de cybercriminalité qui a payé des spammeurs pour promouvoir des pharmacies Internet escrocs (pensez au spam Viagra). Dans un article de suivi, j’ai écrit que le compte de messagerie personnel du botmaster de Rustock était lié à un nom de domaine ger-mes.ruqui comportait à un moment donné le curriculum vitae d’un jeune homme nommé Dmitri A. Sergeev.
Puis, le 26 janvier 2012, j’ai publié une histoire présentant une piste de preuves suggérant une identité possible de « Sévéra » (alias « Peter Severa »), un autre affilié de SpamIt qui est largement considéré comme l’auteur du botnet Waledac (et probablement le Ver de tempête). Dans cette histoire, j’ai inclus plusieurs captures d’écran de Severa discutant sur Spamdot.biz, un forum russe extrêmement secret dédié aux personnes impliquées dans le commerce du spam. Dans l’une des captures d’écran, Severa déplore l’arrestation de Alan Ralskyun chef de file du spam américain condamné qui s’est spécialisé dans le spam boursier et qui, selon le Département américain de la justice – était en partenariat avec Severa. Activistes anti-spam sur Spamhaus.org maintenir que le vrai nom de Peter Severa est Pierre Levashov (bien que les preuves que j’ai recueillies aient également révélé un autre nom, Viktor Sergueïevitch Ivashov).
Il semble maintenant que la conclusion de Spamhaus sur Severa était plus proche de la vérité. Plus à ce sujet dans une seconde. J’ai pu présenter les discussions Spamdot parce que j’avais obtenu une copie de sauvegarde du forum. Mais d’une manière ou d’une autre, dans toutes mes enquêtes précédentes, j’ai oublié une poignée de messages privés entre Severa et le botmaster de Rustock, qui utilisait le surnom « Tarelka” sur Spamdot. Apparemment, les deux ont travaillé ensemble sur le même genre de pomper et vider stockent des programmes de spam, mais se connaissaient également assez intimement pour se nommer par leur prénom.
Chat Spamdot.biz entre Tarelka et Severa
Ce qui suit est tiré d’une série de messages Spamdot privés échangés entre Tarelka et Severa les 25 et 26 mai 2010. Dans ce message, Severa fait référence à Tarelka comme « Dimas », une forme familière de « Dmitri ». De même, Tarelka s’adresse à Severa comme « Petka », un diminutif russe courant de « Peter ». Ils discutent d’un mystérieux ami commun nommé John, qui a apparemment utilisé le surnom « Apple ».
De : Sévéra
À : Tarelka
Date : 25 mai 2010, 10 h 28
Objet : Actions
« Dimas, bonjour. Comment ça va ? Que s’est-il passé avec Apple ? Tout est compréhensible en ce qui concerne Ralka. Cependant, que leur est-il arrivé ? J’avais plus de monde, ils ont aussi disparu. Je pense qu’ils ont eu peur après que Ralsky ait été secoué.
De : Tarelka
À : Sévéra
Date : 25 mai 2010, 15 h 20
Objet : Objet : Stocks
« Tout va bien avec John. Nous avons bu avec lui récemment en Europe. Il se marie bientôt. Il ne spamme plus les actions. Il s’est fait pincer [arrested/questioned] une fois très mal il y a quelque temps. Maintenant, il est tout propre. Son ami – SP – l’a baisé et ne travaille pas non plus avec des actions maintenant. Rin est dans la merde. Il va être en prison (ou il va se cacher) pendant longtemps. Il m’appelle assez souvent, donc il est vivant jusqu’à présent. J’aide sa femme avec de l’argent de temps en temps.
Les deux échangent des recommandations sur leurs boîtes de nuit préférées à Saint-Pétersbourg, en Russie. Tarelka demande comment va Severa, ce qui suscite la réponse suivante :
De : Sévéra
À : Tarelka
Date : 25 mai 2010, 15 h 27
Objet : Objet : Stocks
« Je suis d’accord. Merde, où trouver des sponsors ? Je suis sûr que je peux vendre des actions même sur le marché actuel. Y a-t-il d’autres contacts ? Je vais peut-être demander à Apple. Peut-être qu’il peut me donner des références. Qui aurait pu penser il y a deux ans que ce « thème » allait mourir, hein ? Transmettez mes salutations à Igor [possibly Igor Gusev, the co-curator of SpamIt]. Je vous souhaite bonne chance et patience.
Tarelka dit qu’il a essayé de convaincre John/Apple qu’il y avait encore de l’argent à gagner avec les spams boursiers, mais que John a insisté sur le fait que le marché était mort et que personne ne se présentait pour payer les spammeurs pour qu’ils envoient plus de spam.
De : Tarelka
À : Sévéra
Date : 26 mai 2010, 8 h 02
Sujet; Objet : Actions
« Mon ami… pensez-vous que les actions n’étaient pas le thème central de notre conversation ? J’ai rempli ses oreilles avec ce sujet. Il ne voit aucune possibilité. Pas du tout. Donc, nous sommes assis sur nos culs, envoyant pharmacie et réplique [spam].
Le « John » dans la conversation ci-dessus peut avoir l’un des deux Johns nommés comme co-conspirateurs dans l’acte d’accusation de Ralsky de 2008 (PDF) pour spam. Selon sa page WikipédiaRalsky a été condamné en 2009 à quatre ans et trois mois de prison après avoir plaidé coupable de fraude électronique, de fraude postale et de violation de la Loi CAN-SPAM. Cette peine a ensuite été réduite à 35 mois, lorsque Ralsky a accepté d’aider à la poursuite d’autres spammeurs. Il aurait été libéré de prison le 14 septembre 2012.
Severa et Tarelka restent libres et très actifs sur la scène du spam et des logiciels malveillants. Selon des sources, Tarelka affirme que son code de botnet a été vendu à trois malfaiteurs différents avant le retrait de Rustock par Microsoft en mars 2011, bien qu’il vende toujours des rootkits personnalisés à des clients contrôlés. En juillet 2011, Microsoft a commencé à offrir une récompense de 250 000 $ pour les informations menant à l’arrestation et à la condamnation de la ou des personnes responsables de Rustock.