[ad_1]

Qui contrôlait le botnet Rustock ? La question reste sans réponse : le récent démantèlement par Microsoft du plus grand moteur de spam au monde a offert de nouveaux indices alléchants sur l’identité et les revenus des botmasters de Rustock. Les données montrent que les conservateurs de Rustock ont ​​gagné des millions en proxénète des pharmacies Internet voyous, mais soulignent également les défis auxquels les enquêteurs sont toujours confrontés pour retrouver les responsables de la construction et du profit de cette machine criminelle complexe.

Plus tôt ce mois-ci, Microsoft a paralysé Rustock en convainquant un tribunal de le laisser saisir des dizaines de serveurs de contrôle Rustock qui étaient dispersés entre plusieurs fournisseurs d’hébergement basés aux États-Unis. Peu de temps après ce démontage, j’ai commencé à suivre la piste de l’argent pour savoir qui a finalement payé les hôtes des contrôleurs de botnet pour leurs services.

Selon des entretiens avec des enquêteurs impliqués dans le démantèlement de Rustock, environ un tiers des serveurs de contrôle ont été loués à des fournisseurs d’hébergement américains par une seule entité : une petite entreprise d’Europe de l’Est spécialisée dans la revente de services d’hébergement à des individus de l’ombre qui fréquentent des forums clandestins de hackers.

BreachTrace.com a parlé à ce revendeur. En échange de l’accord que je ne nomme pas son opération ou son emplacement, il a fourni des informations de paiement sur le client qui a acheté des dizaines de serveurs qui ont été utilisés pour manipuler les opérations quotidiennes de l’énorme botnet.

Le revendeur était prêt à partager des informations sur son client parce que le client s’est avéré être un mauvais payeur : le client a quitté l’entreprise avec deux mois de loyer, une dette impayée de 1 600 $. Le revendeur a également semblé disposé à me parler car je pourrais peut-être plier l’oreille de Spamhaus.orgle groupe anti-spam qui a exhorté les FAI du monde entier à bloquer ses adresses Internet (plusieurs milliers de dollars de serveurs loués) peu après que Microsoft a annoncé le retrait de Rustock.

J’ai trouvé le revendeur annonçant ses services sur un forum en langue russe qui s’adresse exclusivement aux spammeurs, où il décrit les capacités matérielles, logicielles et de vitesse de connexion des serveurs mêmes qu’il louera plus tard au botmaster Rustock. Cette sollicitation, publiée sur un important forum de spammeurs en janvier 2010, offrait aux clients potentiels des conditions flexibles sans fixer trop de limites à ce qu’ils pouvaient faire avec les serveurs. Une version traduite d’une partie de son message :

« Je répète encore une fois que les serveurs sont légitimes, financés par nous et appartiennent à notre société. Pour les centres de données, nous sommes responsables de nous assurer que vous êtes notre client et que vous ne violerez pas les conditions d’utilisation. De plus, envers vous, nous sommes responsables de nous assurer que les serveurs ne seront pas fermés en raison de débits compensatoires de cartes de crédit, comme cela se produit avec des serveurs financés par des cartes de crédit volées. En conclusion, ils n’ont pas de centre de signalement d’abus, ils conviennent aux projets légitimes, aux VPN et à tout ce qui n’entraîne pas de problèmes et de plaintes au centre de données de la part des internautes actifs. S’il vous plaît, prenez-le en considération, afin que personne ne soit énervé et qu’il n’y ait pas de mauvaise impression de notre partenariat.

Le revendeur a déclaré qu’il n’avait aucune idée que son client utilisait les serveurs pour contrôler le botnet Rustock, mais il s’est empressé d’ajouter que ce client particulier n’attirait pas trop l’attention sur lui. Selon le revendeur, les serveurs qu’il a revendus au botmaster de Rustock n’ont généré que deux plaintes pour abus de la part des fournisseurs de services Internet (FAI) qui hébergeaient ces serveurs. Les experts disent que cela a du sens car les serveurs de contrôle des botnets génèrent généralement peu de plaintes pour abus, car ils ne sont presque jamais utilisés pour le type d’activité qui suscite généralement des rapports d’abus, comme l’envoi de spam ou l’attaque d’autres personnes en ligne. Au lieu de cela, les serveurs n’étaient utilisés que pour coordonner les activités de centaines de milliers de PC infectés par Rustock, leur envoyant périodiquement des mises à jour du programme et de nouvelles instructions de spam.

Le revendeur a été payé pour les serveurs à partir d’un compte à WebMoney, une monnaie virtuelle similaire à PayPal mais plus populaire parmi les consommateurs russes et d’Europe de l’Est. Le revendeur a partagé l’identifiant numérique unique attaché à ce compte WebMoney – le porte-monnaie WebMoney « Z166284889296 ». Ce porte-monnaie appartenait à un compte WebMoney « attesté », ce qui signifie que le titulaire du compte devait à un moment donné vérifier son identité en présentant un passeport russe officiel dans un bureau WebMoney. Un ancien agent des forces de l’ordre impliqué dans l’enquête Rustock a déclaré que le nom attaché à ce compte attesté était « Vladimir Shergin ». Selon le revendeur, le client a déclaré dans un chat en ligne qu’il venait de Saint-Pétersbourg, en Russie.

UNE MACHINE À PULVERISER LUCRATIVE

Il se trouve que ce même compte WebMoney est connecté à trois des principaux promoteurs de « SpamIt », un programme de pharmacie voyou qui a payé des millions de dollars aux spammeurs pour promouvoir des sites clandestins qui vendaient des médicaments sur ordonnance contrefaits. SpamIt a fermé ses portes en septembre 2010 lorsque son leader présumé a fait l’objet d’un examen minutieux des autorités russes. Les livres financiers SpamIt qui m’ont été envoyés par une source anonyme l’année dernière incluent les numéros ICQ, les numéros de téléphone et les informations sur les comptes financiers de centaines de pirates informatiques et de spammeurs établis. Les comptes SpamIt montrent qu’un promoteur utilisant le pseudo « Cosma2k” qui a utilisé ce compte WebMoney était régulièrement parmi les 10 meilleurs générateurs d’argent pour SpamIt, et qu’il a gagné plus d’un demi-million de dollars en commissions au cours des trois années avec le programme de pharmacie.

Pourtant, cela ne semble représenter qu’une fraction des revenus totaux de Cosma2k grâce à SpamIt. Les dossiers du programme de pharmacie montrent qu’un affilié de Cosma2k a également utilisé au moins un autre compte WebMoney partagé avec deux autres membres de SpamIt, des comptes liés aux noms d’utilisateur « Oiseau » et « Adv1.” Un examen des détails du compte des trois affiliés montre qu’ils ont également tous fourni le même numéro ICQ au moment de l’inscription. Le total des commissions des trois comptes d’utilisateurs de SpamIt s’élevait à près de 2,14 millions de dollars sur trois ans et demi.

Mais ce n’est pas tout : ces trois mêmes noms d’affiliés – Cosma2k, Bird et Adv1 – ont également été enregistrés en utilisant le même compte ICQ sur Rx-Promotion, un programme de pharmacie Internet escroc concurrent. Rx-Promotion a subi une faille de sécurité l’année dernière dans laquelle ses dossiers d’affiliation ont été pris. Une copie de ces enregistrements a été partagée avec BreachTrace.com, et ils montrent que ces trois comptes ont collectivement gagné environ 200 000 $ en commissions en faisant la promotion de sites Web de pharmacies pour Rx-Promotion en 2010.

Si Cosma2k est vraiment responsable de Rustock, les données de paiement suggèrent soit qu’il partageait le contrôle du botnet avec d’autres, soit qu’il a réparti ses activités de promotion sur plusieurs comptes, peut-être pour empêcher des légions d’autres affiliés de ressentir du ressentiment envers ses revenus et de évitez d’attirer une attention excessive sur un compte en particulier. En fait, le compte SpamIt appartenant à Bird était de loin le compte d’affiliation le plus rémunérateur de toute l’histoire du programme, et Bird gagnait régulièrement deux fois plus en commissions que le deuxième affilié le plus performant (qui était souvent Cosma2k ou Adv1). En janvier 2010, par exemple, les enregistrements de SpamIt montrent que le spam de Bird a généré plus de 130 000 $ de ventes en pharmacie, tandis que le deuxième affilié le plus performant pour ce mois a réalisé environ 86 000 $ de ventes.

Alex Lansteinarchitecte réseau chez FireEyeune société de sécurité basée à Milpitas, en Californie, qui travaillé en étroite collaboration avec Microsoft sur le retrait de Rustock, a déclaré qu’il doutait qu’il y ait plusieurs personnes responsables de la gestion de Rustock.

En fait, a déclaré Lanstein, des bots tels que ZeuS et Mega-D ont montré qu’il ne faut pas plus d’un codeur pour avoir un succès retentissant. « La plupart des gens supposent probablement que pour réussir dans le monde des botnets, vous devez avoir une énorme équipe de programmeurs. De nos jours, la plupart des logiciels malveillants sont spécialisés avec seulement une ou deux fonctions réelles intégrées », a déclaré Lanstein. « Pourquoi encourir les frais généraux liés au partage des bénéfices alors qu’un opérateur de bot peut payer des frais uniques à un service tiers et conserver le bénéfice réel pour vous-même ? »

« Malheureusement, la barrière à l’entrée dans le jeu des logiciels malveillants est extrêmement faible, et lorsque l’extradition est difficile et que les criminels évitent d’affecter les ordinateurs dans leur propre pays, le fardeau des forces de l’ordre est extrême. »

LE GÉANT DU LOGICIEL RECHERCHE BOTMASTER POUR LE Drame de la salle d’audience

Microsoft était également en communication avec mon revendeur informateur et a obtenu une grande partie des mêmes données que moi. Et la société prévoit de publier prochainement au moins certaines des informations, bien que de manière plutôt inhabituelle. Selon Richard Boscovichavocat principal de l’unité des crimes numériques de Microsoft, le géant du logiciel a saisi les serveurs de contrôle de Rustock en sécurisant ce qu’on appelle un « ex parte ordonnance d’interdiction temporaire », qui a permis à Microsoft de supprimer le botnet sans donner de préavis aux défendeurs.

Mais Microsoft est tenu par la loi de faire maintenant un « effort de bonne foi » pour contacter le(s) propriétaire(s) des domaines de contrôle Rustock et d’autres infrastructures que la société a depuis saisies, et d’informer la ou les personnes de la date, de l’heure et du lieu. d’une prochaine audience à Seattle, Washington, où les accusés auront l’occasion d’être entendus.

Microsoft publiera les informations sur un site Web créé à cet effet – noticeofplaidings.com. La société peut également chercher à publier les informations dans un ou plusieurs grands journaux russes, a déclaré Boscovich.

«Nous devrons envoyer un avis à la personne ou [group of] des individus que nous pensons être derrière le bot », a déclaré Boscovich. « Nous allons probablement également signifier un avis de procédure dans les journaux russes ou dans un journal de Saint-Pétersbourg, en disant » Hé, M. Tel-et-tel, il y a une audience à Seattle sur cette affaire et nous attendons que vous soyez là. ”

Il sera intéressant de voir qui, si quelqu’un, répond aux avis de Microsoft, et si le voile de l’anonymat sera levé des pseudonymes des botmasters, des spammeurs et des titulaires de compte. Restez à l’écoute!

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *