Aujourd’hui, les syndicats du cybercrime sont capables de prouesses technologiques dans le but de voler toujours plus d’argent, et la beauté de la chose, c’est que pratiquement toute l’escroquerie est automatisée !

Voici concrètement les principales caractéristiques de cette arnaque:

- L’utilisation inédite de VPN sur des opérations liées au botnet Zeus.
- Un système entièrement automatisé capable de piloter un nombre impressionnant de services en ligne, tels que l’archivage de chèques bancaires, la vérification de ces chèques, les sites d’offres d’emploi et certains Webmails.
- Le recrutement automatique de mules pour l’encaissement des chèques et le virement bancaire.
- Le détournement de certains systèmes anti-fraude pour faciliter l’arnaque.
- Fraude à la carte de crédit pour utiliser des services de livraison postale.

Utiliser un tunnel VPN pour dissimuler les opérations.

Le VPN (Virtual Private Network) permet de faire passer des données d’un réseau privé au travers l’Internet. Pour un maximum de sécurité, les données sont cryptées. Concrètement, vous êtes en déplacement et vous avez besoin d’accéder aux ressources privées de votre entreprise (Fichiers, intranet, imprimantes, etc.) Le VPN « creuse » un tunnel privé et sécurisé jusqu’à un serveur qui vous authentifie et redistribue ces données vers votre poste: vous faites désormais partie intégrante du réseau privé de votre entreprise, même si physiquement vous êtes à des milliers de kilomètres de votre lieu de travail.

L’arnaque utilise ce dispositif pour piloter les machines Zombie, préalablement intégrées au botnet Zeus. Windows dispose en standard d’un client VPN s’appuyant sur le protocole PPTP. Le Zombie se connecte au moyen de cette technologie à un serveur C&C (Command and Control) qui peut lui envoyer ses ordres en toute discrétion. Le système va alors s’installer sur un port TCP aléatoire et se transformer en proxy Socks.

La technique est beaucoup plus évoluée par rapport à ce qui se fait habituellement, notamment sur le Botnet Storm et son système de pilotage à base de P2P. Ici le flux de commandes est encrypté et encapsulé dans un protocole très courant et largement répandu, ce qui rend sa détection quasi impossible: une signature VPN est généralement anodine et ignorée par un IPS/IDS ou même un anti-spyware. Mais la grande force de la méthode est qu’elle permet de contourner n’importe quel firewall et aussi de résoudre la problématique du NAT (translation d’adresses IP) qui masque la machine sur Internet.

Des Zombies qui travaillent à différentes taches.

A partir du moment où un groupe de cyber-criminels prend le contrôle de plusieurs milliers de machines, il lui est facile d’organiser des opérations à un niveau industriel. Les Zombies sont capables d’effectuer automatiquement les tâches suivantes:

- Scraper des sites d’emploi pour y récupérer des adresses email.
- Lancer des campagnes de spams via Webmail (Yahoo, Gmail, etc.) afin de recruter de nouvelles mules.
- Créer automatiquement de nouveaux comptes Webmail pour générer du spam, la création se faisant à l’aide d’un service de décodage de Captcha.
- Utilisation des raccourcisseurs d’URL afin de camoufler les liens dans les spams.
- Piratage des images de chèques numérisés sur des sites de e-commerce.
- Achat automatique grâce à des cartes de crédit volées, d’enveloppes pré-timbrées et pré-remplies pour l’expédition par voie postale des faux chèques.

Toutes ces opérations jouent un rôle crucial dans le but ultime des escrocs: sortir de l’argent de certains comptes bancaires via de faux chèques et virer l’argent ainsi obtenue dans un autre pays.

Le mécanisme de l’arnaque.

Si l’on décortique un peu plus en détail les activités des machines Zombies, on comprend mieux comment le groupe contrefait les chèques. Un processus automatique scrape les images des chèques sur certains sites de e-commerce qui archivent leurs chèques. Ironiquement, l’un de ces sites s’avère être un site spécialisé dans la lutte contre la fraude aux chèques.

Finalement, le groupe était capable de s’introduire dans d’autres systèmes sous-traitants la gestion des chèques en provenance d’autres sites commerciaux. Le système était capable d’aller chercher un très grand nombre de ces chèques numérisés; il avait alors les précieuses informations nécessaires à l’élaboration des faux chèques: le numéro du chèque, le numéro de compte, le nom et l’adresse de la société ainsi que l’image de la signature des personnes autorisées à signer les chèques: comptables, particuliers, etc.

Le groupe semblait utiliser un véritable programme d’édition de chèques que l’on peut acheter chez un revendeur spécialisé.

Mules ou pigeons voyageurs ?

Les mules constituent l’un des piliers de l’arnaque; il est donc nécessaire d’en recruter toujours plus. C’est grâce aux sites d’emploi que les escrocs peuvent trouver des mules. Vraisemblablement grâce à des accès volés, ils accèdent aux adresses email de demandeurs d’emploi qu’ils n’ont plus qu’à insérer dans leur base de données de spam. Ces mules sont ensuite contactées par un email pour leur proposer une offre alléchante: travailler pour une grande société financière à la recherche de « talents » pouvant effectuer quelques opérations simples comme l’encaissement d’un chèque et un virement bancaire.

Voici un exemple de proposition:

A: [le nom du demandeur d'emploi]
De: Service des ressources humaines
Sujet: Proposition pour [le nom du demandeur d'emploi]

Cher [le nom du demandeur d'emploi]

Notre société – “La SA Méga Fiduciaire Internationale” gère des prestations bancaires depuis plus de 10 ans. Pour faire face à notre croissance exceptionnelle, nous sommes à la recherche de personnes pouvant transférer de l’argent depuis les États-Unis vers l’étranger.

Le travail consiste en les opérations suivantes:
- Récupérer un chèque via un point de dépôt postal.
- Encaisser le chèque.
- Effectuer un virement bancaire vers des comptes que nous vous indiquerons.

Pour ce travail, il vous est demandé:
- Une adresse active.
- 1 à 2 heures de disponibilité par jour.
- Un compte bancaire suffisamment approvisionné.

Rémunération:

De $100 à $500 par jour avec une garantie minimale de $3000 en à peine quelques heures. Notre société prend en charge tous les frais.

Si cela vous intéresse, merci de bien vouloir vous inscrire sur notre site Web et d’y renseigner vos coordonnées.

Sincères salutations.
Le Directeur des Ressources Humaines
SA Méga Fiduciaire Internationale.

Le groupe a utilisé bon nombre de noms de société proches de sociétés financières complètement légitimes, afin de gagner la confiance des mules. Si le demandeur d’emploi répondait à l’annonce, voici le genre de mail qu’il recevait:

Sujet: Première opération pour [le nom de la mule]. Veuillez suivre attentivement les instructions ci-jointes.
De: Paiement réussi
A: [le nom de la mule]

Cher [le nom de la mule]
Attention: veuillez répondre à ce message au maximum 12 heures après sa réception.

Notre client vous a envoyé un chèque de $2740. Vous recevrez ce chèque par voie postale entre le 10 et le 12 juillet.

Vous pouvez voir en temps réel l’état d’avancement de l’expédition grâce à son numéro de suivi: X3535XX

Une fois reçu, vous pouvez encaisser le chèque:
1) Auprès de la banque qui a émit le chèque.
2) Auprès d’un centre d’encaissement.
3) En déposant directement le chèque sur votre compte bancaire.

Plus vite vous enverrez l’argent par virement, et plus importante sera votre commission. Si vous envoyez l’argent dans les 24 heures, votre commission représentera 15% du montant du chèque. Dans le cas contraire, vous ne percevrez que 8% de la somme.

Dans les 24 heures:
Somme à envoyer: 2204
Votre commission: 411
Frais: 125

Après 24 heures:
Somme à envoyer: 2395
Votre commission: 220
Frais: 125

S’il y a d’autre frais, merci de bien vouloir les déduire du montant à envoyer.

Vous allez avoir besoin des informations suivantes pour effectuer le virement bancaire:
1) Prénom ** [Le prénom de la mule russe]
2) Nom ** [Le nom de la mule russe]
3) Ville ** Saint-Saint-Pétersbourg
4) Pays ** Russie

Une fois que vous avez envoyé l’argent, la banque va vous donner un numéro de suivi que vous nous enverrez par email.

Merci de bien vouloir indiquer précisément les informations suivantes
1) Votre adresse (celle que vous avez indiquée dans le virement):
2) Vos noms et prénoms (que vous avez indiqué dans le virement):
3) Somme transférée:
4) Le numéro de suivi:

Une fois que notre client aura reçu le virement, prouvant ainsi votre efficacité, le nombre de chèques à encaisser sera augmenté au jour le jour. Nous apprécions votre collaboration et espérons que vous travaillerez longtemps avec nous. Merci de bien vouloir nous répondre par mail et nous indiquer que vous avez bien compris les instructions.

Une organisation bien huilée mais trahie par un mauvais anglais

Afin que l’opération soit un réel succès, la mule devait agir dans les meilleurs délais. C’est pour cette raison qu’il était vital que le virement se fasse le plus rapidement possible, d’où la commission de 15% pour la première journée et de seulement 8% pour un délai supérieur. Le montant des faux chèques n’excédait jamais $3000. Au delà de ce montant, les délais d’encaissement ont tendance à augmenter et le risque de découvrir la fraude devient beaucoup plus important.

Lorsque la mule ne répondait pas au mail d’information, le groupe insistait en lui téléphonant directement. Une femme parlant anglais mais avec un accent russe appelait la mule en lui demandant d’envoyer l’argent le plus rapidement possible.

Les chèques reçus par les mules semblaient bien réels. Même les habituelles mesures anti-contrefaçons y apparaissaient.

Un exemplaire de faux chèque

Malheureusement pour le groupe, la mauvaise maitrise de l’anglais leur a été fatale: les très nombreuses fautes d’orthographe et de grammaire présents directement sur les chèques trahissaient la contrefaçon.

Pour terminer, nous avons ici affaire à un groupe très bien organisé et qui a su exploiter les gigantesques possibilités offertes par un botnet; le degrés d’automatisme est tel que l’avenir nous prépare certainement encore de bien belles surprises en provenance des cyber-syndicats.

Xrumer est un sacré logiciel qui m’ennuie beaucoup. Il me met une pagaille pas possible dans un forum associatif que je gère, m’obligeant à valider manuellement les inscriptions, ce qui me donne du travail supplémentaire; du travail de fourmi que j’exècre au plus haut point.

Suite à mes déboires, je me suis donc penché un peu plus sur ce sinistre logiciel, par la force des choses. C’était il y a quelques mois, au cours duquel j’échangeais régulièrement avec l’un de mes correspondants Estoniens qui m’avait tuyauté sur le botnet Storm.

Mon correspondant, appelons le Piotr, connaissait bien la bête car il l’utilisait fréquemment. Il me l’avait longuement recommandé, mais je ne l’ai jamais acheté, préférant développer à la main mes machines infernales. Et puis les problèmes avec mon forum m’avaient aussi un peu échaudé.

Un jour où nous échangions, il me dit qu’il a quelques soucis avec le monstre et que, « Nibdon » comme ils disent en Estonien, le site web qui le distribue (www.botmasternet.com) n’est plus accessible et qu’il se retrouve dans la galère, surtout au prix où il a payé sa licence (plus de $500). Un peu amusé par la situation, je me dis que Piotr fait surement parti des spammeurs qui ont inondé mon forum mais, bon prince ou déformation professionnelle, je décide de jeter un œil au problème.

La Russian connection

Le site était hébergé à l’adresse 95.169.190.220, et ne répondait plus. J’en profite pour lancer quelques tests avec certain de mes outils et je tombe sur les données administratives du réseau. Cette adresse fait partie du réseau 95.169.190.0/23 qui appartient à un certain Ivan Gladenko de la société Keyweb.de.

Ces messieurs font partie des fournisseurs qui ne sont pas très regardants sur leurs conditions générales d’utilisation. Au programme des clients: spams, faux codecs, arnaque financière (HYIP) et d’autres choses que je préfère taire. De plus en plus intéressé par eux, je vais même jusqu’à découvrir qu’ils hébergent deux serveurs de contrôle du botnet Zeus !

Bon finalement, c’est tout de même dans la logique des choses que Xrumer soit hébergé plutôt chez ce type de société plutôt qu’au Vatican. Suite à ce sympathique moment, Piotr me dira que le site a tout simplement été migré chez un autre prestataire et qu’il fonctionne bien désormais.

Un autre prestataire ? Mais qui donc cette fois-ci ? Allons-nous passer de Al Capone à mère Thérésa ? Jetons un œil si vous le voulez bien.

Le retour de la Russian connection

Tout d’abord, j’apprends qu’il faut faire soit même la résolution DNS, c’est à dire coder un fichier hosts sur sa machine; pas bien pratique tout cela, mais passons. Voici donc la nouvelle adresse du site de Xrumer: 188.72.244.95.

Cette adresse appartient à la plage 188.72.244.64 – 188.72.244.127, dirigé par un certain Alexey Terentyev de nkvdteam.ru.

Le Ripe nous apprend que ce bloc d’adresses est en fait routé par la société Netdirekt, récemment rachetée par Leasweb, un gros fournisseur néerlandais. La société Netdirekt a également un très lourd passif en matière de petits ennuis, pour rester courtois.

Tout en bas de la page, vous prêterez une attention toute particulière à l’un de leur turbulent client Rustelekom qui ressemble étrangement à la tentaculaire mais néanmoins défunte Russian Business Network.

En clair les concepteurs de Xrumer utilisent les infrastructures « underground » habituelles qui leur permettent de ne pas être trop inquiétés dans leurs petites affaires, mais pas seulement.

L’envers du décor

Il y a environ un mois, je discutais via IRC avec Piotr alors qu’il était en « plein travail » avec Xrumer, et c’est là que j’ai été pris d’un petit soupçon que j’ai eu envie de vérifier. Je lui ai donc demandé si je pouvais me connecter sur son serveur dédié que je puisse admirer « la bête dans ses œuvres » (Création de 500 liens à la minute).

Il a accepté mais à condition que « Nibdon », je ne casse rien parce que c’est quand même de son gagne-pain que nous parlons.
Je me suis donc connecté et à l’aide de Windump, j’ai discrètement lancé une capture réseau du trafic généré par Xrumer.

La première chose que j’ai trouvé étrange est la grande fréquence de requêtes ICMP envoyées par le serveur. Le protocole ICMP est un protocole de service utilisé par exemple par les commandes ping et traceroute. (tracert sous Windows). On l’utilise normalement pour signaler un problème ou pour véhiculer des messages de contrôle. Dans notre cas, j’ai pu compter jusqu’à 10 requêtes ICMP par minute, ce qui est absolument anormal lors d’une utilisation conventionnelle d’un service réseau. J’ai demandé à Piotr si l’on pouvait arrêter temporairement Xrumer, et lorsqu’il l’a fait, les requêtes ICMP ont disparu. C’est donc bien ce logiciel qui est à l’origine de ce type de trafic réseau. A noter que toutes ces requêtes étaient toujours envoyées dans la même direction: une machine hébergée par groatcoats.com (Site web indisponible).

La deuxième chose que j’ai constaté est la taille du paquet ICMP. Alors que celle-ci est généralement de l’ordre de quelques octets, là le paquet faisait plusieurs kilos-octets, de quoi transporter un certain nombre d’informations. Cela m’a rappelé une expérience que j’avais faite il y a quelques années pour contourner un IDS. L’idée était que comme la plupart du trafic conventionnel (Web, mail, etc.) était étroitement surveillé, il fallait faire preuve de beaucoup de subtilité pour arriver à faire entrer ou sortir de l’information située au delà du système de protection d’une entreprise. J’ai trouvé la solution en camouflant des données dans une requête d’apparence complétement anodine: le ping qui fonctionne au moyen de deux paquets ICMP¨: ECHO_REQUEST et ECHO_REPLY. Outre l’entête traditionnelle (source, destination, type, checksum), ce paquet comporte un « payload » (cargaison) pas franchement normalisée. C’est donc dans cette cargaison que j’ai pu insérer mes informations au nez et à la barbe de l’IDS grâce à un petit programme écrit en C.

Pour en revenir avec cette caractéristique de Xrumer, je n’ai pas su décoder le contenu du paquet. Le mystère reste total, mais il y a pour ma part 3 à 4 kilos en trop dans ce type de requête lorsque l’on fait fonctionner Xrumer.

Et la dernière chose qui m’a également semblé bizarre dans mon analyse, c’est le nombre absolument incroyable de connexions TCP sortantes. Faites un test, lancez un blast sous Xrumer, ouvrez une ligne de commande (cmd) et tapez la commande suivante:

netstat -an

La première colonne indique le protocole (tcp ou udp), la seconde est l’adresse IP émettrice, la troisième l’adresse de destination munie de son type d’application (le port dans le cadre de tcp) et la dernière représente l’état de la connexion (Établie, finie, etc.). Vous isolez le trafic Web en repérant les adresses de destination se terminant par :80. Si vous avez plus de 10 connexions simultanées, cela revient à dire que vous êtes sans doute en train de lancer un DDOS contre une victime !

C’est là une de mes interrogations: est-ce que Xrumer ne profite pas de ses blasts pour lancer peut-être des attaques simultanées contre des sites Web ? Après tout cela passerait complétement inaperçu: si la machine est chargée, et croyez-moi lors d’un DDOS, elle l’est, après tout cela reste une situation qui semble normale, surtout lorsque l’on crée 500 liens à la minute.

En conclusion mon analyse ne prouve rien certes, mais la chose qui est certaine c’est que personnellement, je refuserai toujours d’installer ce type de logiciel sur ma propre machine.

Je m’appelle Arkady, j’ai bientôt 28 ans, je suis Russe, junkie de mon état et accessoirement professionnel de tout ce qui se fait de pire en matière d’Internet.

D’aussi loin que je me rappelle de ma jeunesse, j’ai toujours eu un faible pour le cinéma Italo-Americain de Scorsese, De Palma et surtout Copola. Ce sont certainement ces réalisateurs qui ont donné toute leur lettre de noblesse aux bandits de la Cosa Nostra. Mais je ne peux m’empêcher de penser que s’ils avaient su tout ce que nous sommes désormais capables de faire, nous autres Bratva, alors Robert de Niro aurait certainement pû jouer Flyman, le mystérieux leader de la Russian Business Network.

Car nous sommes désormais des gens riches et puissants, et ce grâce à cette fabuleuse mine d’or qui s’appelle l’Internet. Cela fait maintenant plus de 8 ans que ma vie a été transformée par le e-eldorado. Je n’étais alors qu’un minable étudiant en informatique, épuisé par les milliers de lignes de code Cobol et C données par mes professeurs de l’ETU, l’université de  Saint Petersbourg. Mais après les cours, le pitoyable Arkady commençait à faire ses armes sur la toile au commande de quelques puissants systèmes Unix, généreusement « prêtés » par son université. J’étais encore pauvre, incapable de me payer ne fut-ce qu’une simple connexion RTC; heureusement que j’avais à ma disposition mon accès universitaire qui m’a ouvert à peu près toutes les portes de la criminalité informatique mondiale. Dieu bénisse la Sainte Russie.

Car j’ai vite découvert que dans cet endroit sans frontière, la fortune n’était qu’à deux doigts, ceux que j’utilisais au début pour communiquer et créer ce qui allait devenir mon véritable empire.

J’ai commencé comme tout le monde: par le spam. Avec un script de ma composition, s’appuyant sur des relais ouverts trouvés dans les groupes de discussion, j’étais capable d’envoyer des dizaines de milliers d’emails par jour sur toute la planète. La promotion, c’était bien entendu ce qu’il y avait de plus simple: du porno. Je faisais entre une à dix conversions par jour, ce qui pouvait me rapportait jusqu’à $100 quotidiennement; pour un petit étudiant fauché comme moi, c’était l’Amérique ! Cette histoire a duré quelques mois jusqu’au jour ou toute une partie du bloc IP de mon université a été blacklistée par Spamhaus. Les deux administrateurs réseaux de l’école étaient de vieux fonctionnaires de l’époque soviétique qui n’avaient jamais prêté attention à « mes activités ». Mais cette fois-ci, c’était différent, au vue de la gravité de la situation: la plupart des mails de l’université était systématiquement rejetée. Je suis passé en conseil de discipline et ce n’est que de justesse que je n’ai pas été renvoyé.

Quelque part grisé par mon « exploit » et aussi par le bon filon, j’ai néanmoins continué depuis chez moi via ma toute nouvelle et très couteuse ligne RTC. Mais mon expérience universitaire m’avait appris à être prudent: afin de brouiller les pistes, je multipliais les relais ouverts, et aussi changeais régulièrement mon adresse IP en redémarrant mon modem analogique. Le problème, c’est que j’y ai beaucoup perdu en terme de performances. Passer d’une connexion T1 à un simple RTC à 33kb, pas fiable de surcroit, mes conversions ont chuté dramatiquement: il y avait même des jours où je ne gagnais pas d’argent !

C’est aussi à cette époque que je me suis diversifié vers le spam via les failles des formulaires mail: plus discret, et plus fiable, j’ai réussi quelques bons coups avec cette technique. Et parallèlement, c’est aussi à ce moment que je me suis mis à fumer beaucoup de marijuana essentiellement chez moi.

Un jour, alors que j’étais en plein « travail » (ma dose de spam quotidienne, agrémenté d’un bon joint), un magnifique BSoD a magistralement planté mon ordinateur. Après quelques heures passées à réparer les quelques dégats constatés, j’ai découvert quelque chose qui allait changer radicalement ma conception de faire des affaires sur Internet: j’avais été contaminé par un ver.

Cette histoire m’a fait longuement cogité, et ce pendant plusieurs nuits. Mon business n’allait pas très bien, essentiellement à cause du débit largement insuffisant de ma connexion et des précautions dont je m’étais entouré. Et voilà qu’un programme informatique pénètre sur mon PC, et commence à utiliser mes précieuses ressources, déjà bien limitées. Je me suis alors dit que je tenais là certainement la solution à mon problème de performance: il fallait que j’aille chercher ailleurs ce que j’étais pour l’heure incapable de fournir.

Mon idée était toute simple: j’allais développer un cheval de Troie qui une fois installé, me permettrait d’envoyer mes spams en profitant de la connexion de ma « victime ». J’ai mis deux mois pour développer mon parfait petit système. Celui se présentait sous forme d’un simple processus Windows qui prenait ses directives via un canal IRC dissimulé. Je pouvais envoyer des spams et aussi mettre à jour le programme à distance. Mon cheval n’était pas un ver, un système capable de s’autorepliquer, il fallait qu’il soit exécuté pour pouvoir être installé. J’ai utilisé le P2P ainsi que les canaux warez pour propager ma création. En le dissimulant par exemple dans un générateur de clé ou un crack, j’ai rapidement pu disposer de plusieurs centaines de machines « infectées », essentiellement basées en Europe ou aux Etats-Unis et pourvues de connexions DSL. C’est là que j’ai fait un malheur ! J’étais capable d’envoyer des dizaines de milliers d’emails par jour, avec bien entendu toutes les retombées financières qui vont avec. En ce mémorable 8 mai 2002, j’ai réussi à gagner $2203 en une seule journée, grâce à une performante affiliation pornographique dont j’avais réussi à avoir l’exclusivité via une de mes Partnerka.

A ce sujet, je pense avoir eu beaucoup de chances dans ma vie. Car on ne rentre pas comme cela dans une Partnerka, nos plateformes d’affiliation en Russie. Contrairement à celles que l’on voit en Europe, nos Partnerka ont beaucoup moins pignon sur rue; elles sont discrètes, et il faut montrer patte blanche pour pouvoir espérer un jour y rentrer. Pour ma part, cela a commencé en fréquentant un forum de Webmasters de chez nous. On savait tous qu’il y avait des gens des Partnerka parmi les membres, mais la plupart du temps, ils n’intervenaient que très rarement. On les reconnaissait à leur signature et leur manière unique de communiquer: l’ICQ. Il était inutile de leur envoyer un MP, ils ne répondaient que très rarement, voir même ils finissaient par filtrer les plus insistants d’entre nous. Certains des nôtres avaient fini par rentrer chez eux, mais ils restaient discret sur ce qu’ils faisaient et nous affirmaient toutefois que « cela valait le coup mais qu’il fallait faire ses preuves ».

A la longue, j’ai fini par tisser des liens avec un type que j’ai beaucoup aidé en PHP, un certain Voevoda666, Venyamin de son vrai nom. Or celui-ci avait déjà réussi à rentrer chez Topsold2.ru, une Partnerka montante. Il m’a parrainé et j’ai été accepté après avoir discuté au téléphone avec leur AM (Gestionnaire de comptes), un Arménien du nom de Vardan. Au fil des années, je suis resté en contact avec Vardan. Nous sommes d’ailleurs devenus assez proches, et il est sans conteste, le rare ami que je n’ai jamais eu dans le « business ». Car Vardan m’a beaucoup aidé, de par ses étroites relations et aussi de son implication dans le monde des Partnerka. Le jour où il quittait Topsold2.ru pour créer sa propre Partnerka, j’ai été son premier affilié. Et c’est aussi lui qui m’a initié à la coke :-]

Les années qui suivirent ont vu la professionnalisation de mes activités sur Internet: je suis devenu rapidement un spécialiste pour faire de l’argent par tous les moyens possible et inimaginable. J’ai touché à tout et pratiquement tout fait: à coup de Xrumer, je suis devenu un spammeur chimique grâce à l’obscur Canadian Pharmacy. J’ai installé des dizaines de milliers de faux Codecs, antivirus, spywares. Vendu des fausses montres et évidemment trempé dans les juteux marchés du casino, des rencontres, et bien entendu continué comme pas un dans le porno. Je dois dire que Vardan y est aussi pour beaucoup dans ma réussite, il avait toujours le chic pour me trouver un bon produit à promouvoir. En bref, c’est essentiellement grâce à sa Partnerka que je suis devenu riche avec des revenus qui pouvaient atteindre plus de $20000 par mois.

Les moyens pour y arriver sont simples: du volume, de l’industrialisation et même de la sous-traitance. J’ai continué à spammer de plus belle par mail; grâce à un très gros travail d’automatisation, je suis arrivé au chiffre astronomique de 700000 mails envoyés par jour. J’ai aussi utilisé toute la panoplie du Blackhateur en herbe, comme Xrumer, Scrapebox, Senuke. Mais jouer à cache-cache avec Google a finis par me lasser; par ailleurs, il est fort hasardeux de baser tout un chiffre d’affaire uniquement sur le bon vouloir d’un seul moteur de recherche ! J’ai aussi beaucoup utilisé les régies PPC de seconde zone qui vous demandent 1 centime du clic. Au début, j’étais tellement mauvais à ce jeu que j’ai payé un type pour le faire à ma place. A force d’observer ce qu’il faisait, j’ai fini par comprendre le truc, mais il était plus rentable de continuer la sous-traitance. J’ai même poussé le vice à aller injecter des ActiveX « malsains » dans des publicités à la bannière sur des forums adultes.

De toutes les manières, quand vous connaissez les ficelles de ce milieu, vous arrivez toujours à faire de l’argent ou à faire faire de l’argent pour vous par quelqu’un d’autres.
Par exemple, vous achetez un « blast Xrumer » pour $35 qui peut vous rapporter 10 fois plus en même pas une semaine. Vous pouvez aussi vous procurer de la longue traine extrêmement bien ciblée à partir de 1 centime l’expression. Si vous faites 1% de conversion sur un produit de type Forex qui se vend $50, il vous faut donc investir seulement $1. Il y a même des gens qui louent leur botnets pour que vous puissiez envoyer vos spams ou plus subtile, monter des escroqueries au CPM, au CPA ou au parking de domaine. En bref, les moyens possible sont légions pour qui veut gagner de l’argent mais il faut savoir différencier les coups d’un véritable emploi à plein temps.

Il est arrivé un jour où j’ai pris un peu de recul sur mes activités, notamment sur le côté éthique de tout ce que j’avais accompli en une dizaine d’années. J’en avais fait quand même des belles durant tout ce temps, et il est clair que plusieurs fois, j’aurai peut être pu finir dans les goulags de Sibérie. Mais j’ai toujours eu un avantage certain: le fait d’être russe. Notre pays n’est pas tellement en avance en matière de législation sur la criminalité informatique, et nos dirigeants ont bien d’autres chats à fouetter que de s’occuper de malheureux spams. Je me suis souvent dit que finalement, je ne faisais pas véritablement de mal à mon prochain, que je n’étais qu’une sorte de profiteur des failles d’un système complétement ouvert. Et aux quelques rares détracteurs que j’ai parfois côtoyé, je n’ai eu qu’un seul mot: « des clous ! » La seule véritable limite que je me suis imposé est de ne jamais faire de pédo-pornographie; pour tout le reste, je ne me suis jamais véritablement posé de question: ce n’est que du business, et pas forcément illégal, du moins pas chez nous.

Il est maintenant 3 heures du matin, je vais rentrer chez moi me coucher, seul comme d’habitude. Qui voudrait d’un type comme moi, un nerd certes aisé mais quand même complétement jeté ? En chemin, je me prendrai sans aucun doute une dernière dose de Tianeptine, histoire d’écourter encore plus le délai qui m’amène irrémédiablement vers ma tragique destinée.

Aujourd’hui, ce ne serait évidemment plus possible, car nous avons affaire à des millions de virus, vers, chevaux de Troie, sans compter tous les Spywares, Adwares qui hantent l’Internet: heureusement nous disposons d'antivirus tout simplement téléchargeables, comme cloud pour venir contrer tous ces parasites- il faudrait forcément rassembler une équipe tant les proportions d’infection sont grandes. On peut véritablement parler d’épidémie, et ceci dure depuis déjà de nombreuses années sans que l’on puisse en voir la fin.

Connaissant ce milieu, je me suis penché sur les motivations qui peuvent pousser quelqu’un à écrire un virus. Vous verrez qu’elles offrent un large éventail de profils bien distincts les uns des autres. Elles sont aussi à la hauteur du nombre gigantesque de malwares que l’on recense chaque jour.

La première motivation est le défi intellectuel. En effet, ce n’est pas forcément donné à tout le monde de coder un virus, capable d’infecter des millions de machines. Pour avoir déjà désassembler quelques virus, il faut parfois une très bonne maitrise technique pour arriver à produire « quelque chose » de performant. Je vous laisse imaginer le défi que cela représente d’aller inspecter les entrailles de Windows et  pondre un code capable d’exploiter une faille LSASS. Maintenant, la chose est tout de même devenue plus aisée grâce  à l’utilisation de langages plus simple comme le Visual Basic. Mais le résultat ne sera pas forcément spectaculaire; c’est toujours en assembleur que l’on sera capable d’aller au plus loin dans le codage d’un virus. Le défi est finalement similaire au challenge que l’on peut se lancer dans un sport ou une activité extrême.

La deuxième motivation est la vengeance. Lorsque l’on a été brimé par son employeur, par exemple, il est tellement facile de déposer quelque part « une petite cochonnerie », bien cachée au sein du système d’information qui se déclenchera quelques semaines après notre licenciement départ. Ce genre de chose n’est pas à proprement parlé un virus, mais plutôt un cheval de Troie; le but n’étant pas de forcément se reproduire, mais juste de nuire à l’ennemi. Par exemple, on peut imaginer un programme qui, à chaque redémarrage du PC, va aller effacer aléatoirement un fichier stratégique, comme une DLL par exemple.

Notre troisième motivation est la reconnaissance. Si vous faites partie de ceux dont on se moque tout le temps, parce que vous transportez votre ventre dans une brouette, vous avez beaucoup de chances de rentrer dans cette catégorie. En mal de notoriété, vous cherchez le coup d’éclat, vous faire remarquer et créer un virus peut certainement vous aider dans votre quête. Le seul problème, c’est que vous allez devoir affronter un paradoxe que votre esprit n’arrivera pas à résoudre: vous voulez être connu, mais vous savez pertinemment que si vous déclarez sur un forum que vous êtes l’auteur du ver Sasser, vous avez beaucoup de chances d’avoir des problèmes avec la justice. Et pour votre gouverne, les sociétés n’embauchent pas les créateurs de virus, il s’agit d’une légende urbaine. De toutes les manières, il est clair que vous allez avoir des ennuis.

Notre quatrième motivation est sans doute la pire des choses, puisqu’il s’agit de terrorisme.Vous ne l’avez peut être pas remarqué, mais l’Internet grouille de cyber-activistes, cyber-anarchistes, cyber-extrême-machin, etc. A l’image du pyromane qui se délecte de la vue d’un feu de forêt, certains ne rêvent que de destruction. Et l’Internet a ceci de fabuleux, c’est qu’il est un formidable terrain de jeu pour les créateurs de virus destructeurs, capables de semer la destruction des systèmes d’exploitations ou des précieuses données. Et je profite de cette occasion pour vous dévoiler comment on a déjà tenté si ce n’est de détruire l’Internet, mais le ralentir fortement: en lançant un DDOS massif sur les principaux serveurs root.

Et je termine avec la dernière motivation: l’argent. Évidemment, avec les milliards qui transitent sur l’Internet, il est normal que les bandits de grands chemins se soient attaqués à ce nouveau territoire. De plus en plus de Botnets sont désormais utilisés pour des malversations financières. Les précédents exploits du Botnet Mariposa ne sont pas là pour me contredire.

L’histoire a été largement relayée par les médias et pendant un temps il a été suggéré que la cyber-attaque était le fruit d’opérations perpétrées par des hackers patriotiques. Cependant cette attaque, de par son ampleur, sa coordination et son très haut degré de sophistication ne peut vraisemblablement pas voir son origine uniquement dans les actes de hackers indépendants. Plusieurs experts en sécurité informatique ont accusé Moscou d’être derrière ces agissements. Au vue de l’intensité de ces attaques, seul un état aurait été capable de mener à bien ce type d’opération.

Le début du 21eme siècle voit les cyber-attaques se développer à vive allure. Les hautes technologies et les compétences en ligne sont désormais à vendre et ce n’est pas les clients qui manquent : du particulier aux sociétés commerciales, en passant par les organisations terroristes, une cyber-attaque peut déstabiliser un concurrent ou un adversaire et même mettre en péril toute l’organisation économique d’un pays.

Au cours du printemps 2007, le système informatique gouvernemental Estonien a été la victime d’une violente attaque déclenchée par des cyber-terroristes suite à la décision d’officiels Estoniens de déplacer dans un cimetière militaire de Tallinn, la statue d’un soldat de l’armée rouge mort en combattant les Nazis. Cette décision fut l’objet de nombreuses protestations au sein de la minorité Russe d’Estonie. Suite à cela, une vaste attaque à base de déni de service a été déclenchée contre les réseaux gouvernementaux Estoniens. Les attaquants ont bombardé d’innombrables requêtes l’infrastructure Estonienne, bloquant d’innocents utilisateurs et mettant en évidence toute la vulnérabilité du système d’information du pays. Les experts ont estimé que l’assaut avait eu de graves conséquences auprès des banques et des aéroports.

En aout 2008, la Géorgie a été également la victime d’une cyber-attaque massive. Le déni de service a débuté alors même que la Russie envahissait la Géorgie et a continué après que le Kremlin eut annoncé qu’il mettait un terme aux hostilités.

Le 20 juillet, la fondation Shadowserver publia un article sur l’attaque dont fut victime le site web du Président de la Géorgie. « Depuis plus de 24 heures, le site web du président Géorgien Mikhail Saakashvili est indisponible suite à un important déni de service. Le site a été attaqué samedi matin (heure Géorgienne). Nous avons pu observer au moins un serveur Command and Control (C&C) frappant le site au moyen d’attaques simultanées. Le serveur C&C a ordonné à ses bots d’attaquer le site web en l’inondant de requêtes TCP, ICMP et http. »

Le 21 juillet, le site Computerworld écrit, « Au cours du week-end, le site web du président de la Géorgie a été mis hors service par un déni de service, il s’agit d’une attaque de plus dans la longue série des cyber-attaques contre les pays ayant des frictions politiques avec la Russie. »

Le 12 aout, le quotidien New-York Times cite: «Quelques semaines avant que les bombes ne tombent sur la Géorgie, un chercheur en sécurité originaire du Massachusetts a pu observer une attaque du pays dans son cyberespace. »

L’invasion de la Géorgie par la Russie a été précédée d’une cyber-attaque sur les infrastructures Internet de la Géorgie. A partir du 7 aout, soit un jour avant que ne commence l’invasion Russe, un nombre important de serveurs Internet Georgien ont été saisis et placés sous contrôle étranger. Au même instant, la plupart du trafic Internet Géorgien et de ses accès ont également été détournés.

Le piratage du site web du président Mikheil Saakashvili (les photos de ce dernier ont été remplacées par des effigies d’Adolf Hitler) a été la phase initiale du lancement de l’attaque. S’ensuivirent alors de larges dénis de service contre le site, empêchant ainsi le gouvernement Géorgien de communiquer vers sa population et les média internationaux durant cette phase critique.

Après analyse, il s’avère que ces dénis de services n’ont pas été seulement orchestrés de façon traditionnelle via un serveur C&C commandant son botnet, mais bien par de simples injections SQL envoyées sur les serveurs vulnérables. L’avantage est certain : il n’est pas nécessaire de disposer d’un grand nombre de machines zombie, une seule machine suffit pour mettre à genou un serveur.

L’assaut contre le cyberespace Géorgien pourrait avoir été en partie coordonné par la tristement célèbre organisation criminelle Russian Business Network (RBN) qui aurait orchestré un cyber blocus afin de rerouter tout le trafic Internet Géorgien vers la Russie ; cette action a eu comme conséquence de priver la Géorgie de son indépendance Internet.
Des ordinateurs Georgien ont pu constater qu’une attaque était effectivement en cours et que tout le trafic était rerouté.

Deux traceroutes en direction du site des affaires étrangères Géorgien ont montré que :
1 – la route USA – Géorgie était bloquée depuis TTnet Turquie
2 – la route Ukraine – Géorgie était accessible mais très lente; de plus la page du site gouvernemental était fabriquée de toute pièce et redirigée via l’opérateur Bryansk.ru

D’autres analyses des sites web gouvernementaux, tel que celui du ministre de la défense ainsi que celui du Président ont montré
o Que la route USA – Géorgie était bloquée depuis TTnet Turquie
o Que la route Ukraine – Géorgie était également bloquée toujours depuis TTnet Turquie.

En examinant les routes Internet avant et après le début la guerre, il est clair que celles-ci ont été modifiées soit légalement soit illégalement, de sorte que le trafic Internet Géorgien soit bloqué, en entrée et en sortie. Certains de ces accès pourraient être directement sous le contrôle de la Russian Business Network (RBN) : AS8342 RTCOMM (Ru), AS12389 ROSTELECOM (Ru), et surtout AS9121 TTNet (Tk). (Les AS sont des ensembles de réseaux IP sous le contrôle d’une seule et même entité). L’appartenance d’un réseau à la RBN est toutefois toujours très difficile à démontrer dans le sens où cette dernière n’a pas d’existence propre. Pour tracer le champ d’activité de la RBN, on s’efforce de faire des recoupements entre les spams, les sites web et les whois.

Tous ces actes ont demandé une action coordonnée, avec on peut l’imaginer, un état-major, et des généraux qui planifient et envoient leurs soldats. Toutes les attaques ont été menées depuis deux forums de hackers Russes : stopgeorgia.ru (et sa redirection stopgeorgia.info) ainsi que xakep.ru (hacker.ru)

Le forum Stopgeorgia.ru fournissait aux hackers des outils d’attaques contre la Géorgie, mais pas seulement; en fait, c’est tout un processus quasi militaire qui y était organisé : recrutement des nouveaux, endoctrinement, choix des cibles potentielles, livraison des « armes » (scripts et malwares), planification et finalement déclenchement des attaques. Ce forum pourrait avoir été sous la coupe de la RBN au travers d’un de leur gestionnaire de nom de domaine, Estdomain connu pour la conception de faux antivirus et spywares. Stopgeorgia.ru est désormais désactivé et le domaine a été racheté par un indien anonyme.

Dans les jours qui ont suivi le début des hostilités, la guerre de l’information pris un autre tournant sous la forme d’une importante campagne de spam: un message en provenance de la BBC qui affirmait que le président de la Géorgie était homosexuel avec bien entendu, une preuve à l’appui : une vidéo à télécharger. Lorsque la victime cliquait sur le lien, elle téléchargeait un virus « name.avi.exe” depuis l’adresse 79.135.167.49

Parmi tous ces épisodes, le nom de la RBN revient à plusieurs reprises. Cette organisation cybercriminelle est dirigée par Alexandr A. Boykov ainsi qu’un spammeur notoire de Saint Petersbourg appelé Andrey Smirnov.

L’attaque DDOS de juillet émanait de deux serveurs C&C : bizus-kokovs.cc (207.10.234.244) et ns1.guagaga.net (79.135.167.22), une adresse appartenant au réseau turc sistemnet.com.tr, classé au top 10 des pires spammeurs au monde. Vous noterez également que le spam contenant la fausse vidéo provenait de l’adresse 79.135.167.49. Le nom de Mr Boykov est connecté à celui de Sistemnet de par des opérations conjointes de spam de pharmacie. Il possède le réseau IP 81.222.137.0/24 que l’on retrouve régulièrement associé au réseau turc dans les blacklists.

Par déduction, on peut donc conclure que la RBN a été un moment ou un autre impliquée dans le conflit. Mais en restant tout à fait objectif, on pourrait nuancer les propos en disant qu’ au moins les infrastructures de la RBN ont été utilisées au cours des hostilités.

La dernière attaque majeure s’est déroulée le 27 aout. Dans l’après-midi du 27 aout, vers 16h15, une attaque massive a été déclenchée contre le site du ministre des affaires étrangères. L’attaque a connu un pic à 0.5 million de paquets par second, et l’on a pu mesurer entre 200 et 250 Mb de bande passante consommée.

L’attaque consistait principalement en des requêtes http envoyées sur le site http://mfa.gov.ge. Ces requêtes étaient accompagnées de paramètres générés aléatoirement destinés à saturer le serveur. La première vague a beaucoup perturbé les services web qui ont d’abord été ralentis puis ont cessé de fonctionner. Ceci est dû à la surcharge occasionnée par l’amplitude de ces requêtes.

Après cela, aucune autre attaque majeures n’a pu être constatée ; il n’est toutefois pas exclu que des attaques mineures sont toujours en cours mais elles sont difficilement perceptibles et pourraient être contrôlées par des civils.

En conclusion la cyber-attaque n’a eu finalement qu’un impact limité sur la Géorgie, dans le sens où son organisation est assez peu dépendante des technologies de l’information. Des pays comme la Scandinavie et surtout les Etats-Unis auraient beaucoup plus à craindre de ce genre d’attaque. Il a été un moment affirmé que le gouvernement Russe était impliqué dans cet épisode de la guerre, car celle-ci avait été si bien orchestrée que son organisation supposait la participation du gouvernement. Ceci a été démenti par un rapport d’experts indépendants appelé Grey Goose que réfutent toujours les autorités Géorgiennes. Maintenant, encore une fois l’ombre de la sinistre RBN flotte sur un champ de bataille heureusement dépourvu de cadavres.

Même si le chiffre me semble ridiculement bas, il existe une bonne dizaine de Botnets clairement identifiés par des « chasseurs » : le Kraken, composé de plus de 400000 machines capable de générer 9 milliards de spams par jour, le Srizbi autrefois responsable de 60% du spam sur Internet, etc.

Parmi tout cela, l’un de ces Botnet a retenu toute mon attention pour le très haut niveau de technicité employé dans son utilisation: il s’agit du Botnet Storm.

Le Storm, encore appelé Storm Worm, de part son étroite relation avec un cheval de Troie du même nom, a été identifié pour la première fois en Janvier 2007. Les médias prétendent que ce Botnet serait composé de 1 à 50 millions de machines, mais les experts estiment que « seulement » 160000 machines forment ce Botnet.

Bien entendu, il est très difficile de déterminer l’origine du Storm: certains pensent qu’il serait contrôlé directement depuis le sol Américain alors que d’autres estiment, qu’à l’instar de plusieurs de ces « confrères », il serait Russe et même l’œuvre du sinistre Russian Business Network, une occulte organisation cyber-criminelle.

Comme tous les autres Botnet, le but principal du Storm est de générer du spam de nature différente: fichiers PDF ou Excel contenant des images, enregistrement vocal de MP3, texte brut, et email d’hameçonnage (Phishing). Au mois de mars 2008, 20% des spams sur Internet proviendrait du Storm.
Il est également à noter qu’une partie des machines est exclusivement dédiée à l’extension du Botnet, en envoyant par mail des chevaux de Troie chargés d’infecter les machines sur Internet.

Outre le spam, le Botnet est également capable de lancer des attaques DDOS contre d’autres groupes et organisations mais aussi en direction de ceux qui le traquent.

Si le Storm est particulier, c’est que son anatomie est différente des autres Botnet. Au fil du temps, ces auteurs semblent s’être durement focalisés sur la survie de leur création, passant d’une organisation relativement simple et classique à quelque chose de beaucoup plus sophistiquée.

Dans un Botnet rudimentaire, vous trouvez toujours un serveur principal appelé Command and Control (C&C) qui se charge de contacter et de contrôler ces milliers de machines contaminées sur tout le réseau. Pour casser ce type de Botnet, il suffit donc de trouver le C&C et de le désactiver: les machines Zombies sont alors privées de toute commande à distance et rendues partiellement inoffensives.

Le Storm a une approche foncièrement différente et s’organise en différentes couches. Tout en haut de la pyramide, vous avez un C&C tournant sous Apache, et vraisemblablement placé en Russie, selon les dires des experts. Au niveau inférieur, vous trouvez un proxy Nginx chargé de dissimuler la présence du C&C.
Au troisième niveau, vous trouvez une collection de Nginx qui masque le proxy principal du niveau supérieur. Au quatrième niveau se trouvent les nœuds publiques qui agissent comme des reverse proxies et qui renvoient les communications vers le C&C, agissant comme des serveurs DNS fast flux. La technique du fast flux consiste à associer un même nom de domaine à plusieurs IP différentes, et ce rapidement. Finalement, le dernier niveau se compose de milliers de machines serviles, réparties sur tout l’ensemble du réseau.

Le processus d’infection se fait généralement par mail mais peut aussi être déclenché via le réseau P2P. Lorsque la victime a cliqué sur le lien situé dans son mail, le programme va télécharger un fichier exécutable directement depuis un nœud du quatrième niveau. Une fois infectée, la machine compromise et le nœud s’échangent l’adresse IP du nouveau Zombie. L’information est alors envoyée au troisième niveau, puis au second pour finalement parvenir au C&C.

Au deuxième et troisième niveau, les proxies Nginx écoutent le trafic P2P des réseaux Overnet et eDonkey. Overnet est un réseau à base de table de hachage distribuée (DHT) basé sur l’algorithme Kademlia. Il s’agit du même protocole utilisé par les anciennes versions de eDonkey. Depuis octobre 2007, le Storm a changé son protocole: non seulement il utilise Overnet pour communiquer, mais les dernières versions du programme utilisent désormais leur propre réseau P2P. Ce réseau est quasiment identique à Overnet si ce n’est que l’information qui y circule y est encryptée.

Pour identifier les nœuds ainsi que le contenu sur le réseau Overnet, l’algorithme DHT utilise une clé linéaire (Généralement 128 bits) . Tous les algorithmes DHT ont leur propre façon de calculer la distance logique entre deux nœuds ou entre un nœud et du contenu distribué.

Kademlia calcule la distance entre les nœuds en effectuant un ou exclusif entre leur hachage publié.
Lorsqu’une machine souhaite trouver du contenu sur le réseau, elle calcule (ou reçoit) le hachage du contenu et recherche des machines adjacentes à elle même. Ces dernières répondent également en annonçant leurs propres machines adjacentes. Le processus est répété jusqu’à ce qu’une machine soit à même de répondre à la requête de la recherche du contenu.

C’est parce que le réseau Overnet fonctionne sur un modèle de distribution qu’il n’existe aucun annuaire des machines. La liste des machines actives ainsi que le contenu publié sont distribués en petits morceaux directement dans la mémoire de toutes les machines du réseau. C’est toujours l’absence d’annuaire centralisé ainsi que la nature dynamique de ce qui est stocké dans la DHT qui rend le Storm tellement résistant à son démantèlement.

En conclusion, je dirai qu’à la vue de tout ce que j’ai pu lire sur le sujet, ce botnet est un véritable chef d’œuvre de technologie au service du mal. Sa complexité et son architecture lui ont valu le privilège d’être le sujet de plusieurs études, voir même de thèses écrites par des chercheurs de haut niveau. Maintenant, loin de moi de vouloir faire l’apologie du cybercrime, on ne peut que rester perplexe devant un tel déchainement de recherches techniques, de réflexions et d’efforts, surtout pour de si noirs desseins.

Tout d’abord, j’ai reçu en l’espace de 2 minutes près de 400 mails, et à ce jour, je continue d’en recevoir sporadiquement mais en très faible quantité. Ce n’est pas à proprement parler du spam, ni du mail-bombing, mais des bounces (des échecs de livraison). Quelqu’un a utilisé mon adresse publique (sendmail arobase pagasa point net) pour envoyer des courriers non sollicités, et je ne fais que recevoir les erreurs.

La première chose que j’ai constaté est que nous ne sommes plus dans le chemin classique d’expédition du spam. Il y a quelques années, le spammeur utilisait traditionnellement un relai ouvert, un serveur SMTP non sécurisé pour envoyer ses millions de mails. Il n’était alors pas bien difficile de fermer le relai et de passer à autre chose. Cette technique aurait tendance à diminuer mais au vue du nombre de tests que j’ai quotidiennement sur http://www.pagasa.net/test-smtp/, elle n’a pas encore complètement disparu.

Aujourd’hui, ce sont bien des centaines de machines qui sont utilisées pour spammer. Ces machines forment un botnet, un réseau de PCs compromis par des failles de sécurité et pilotés à distance via IRC ou par des requêtes HTML (POST par exemple, pour moins éveiller les soupçons).

Dans mon cas, pratiquement toutes les machines que j’ai repérées sont référencées sur les listes noires comme zombie ou proxy ouverts. Si vous avez un doute sur votre propre machine, vous pouvez tester votre adresse IP via mon script Blacklist.

Ce qui est ennuyeux avec cette histoire, c’est qu’il n’y a aucun moyen d’arrêter le spam en cours, et d’un autre côté, on peut difficilement remonter jusqu’au spammeur en lui même: il faut isoler le zombie et l’inspecter méthodiquement; et encore, on a assez peu de chance de retrouver quoique ce soit: un vrai spammeur ne laisse pas beaucoup de pièces à conviction derrière lui et il n’est pas impossible qu’il chaine ses opérations en faisant piloter un zombie par un autre :-O

Je n’ose pas imaginer le jour où des attaques de grandes envergures seront déclenchées; j’ai d’ailleurs même déjà l’impression que c’est déjà commençé. Les botnets sont sans nulle doute la plus grave menace qui pèse sur l’intégrité de l’Internet.

Au cours de mes investigations, j’ai remarqué que le zombie jouait le rôle d’un agent de transfert (MTA): il est capable d’extraire le MX (Mail Exchanger), ce qui lui permet de communiquer directement avec sa destination, sans passer par un serveur SMTP tiers, celui de son FAI, bien entendu :-)

Mais parfois le zombie détecte la présence d’un serveur SMTP déjà installé en local et l’utilise pour transporter son mail. J’ai pu ainsi repérer quelques Exchanges piratés. Les entêtes que j’ai récupérés prouvent bien une utilisation locale et non un relayage.

En ce qui concerne le spam en lui même, il est destiné à un public russe et peut se présenter sous deux formes:
- Un message écrit en russe, à connotation sexuelle, et invitant à télécharger un Flash sur Imageshack. Un passage à l’antivirus n’a rien donné pour l’instant. Je suppose qu’il s’agit d’un cheval de Troie, exploitant une faille Flash et permettant ainsi à la machine d’incorporer le botnet.
- Le spam en lui même: une invitation au séminaire « UNE VOITURE DANS VOTRE ORGANISATION: comptabilité, fiscalité de l’exploitation » donné par un certain Семенихин В.В, le 26 août 2008. (Merci Google). Aucune URL n’est présente, juste un numéro de téléphone. Curieux, tout de même de spammer pour un séminaire. (Tentative de discrédit par un concurrent ?)

La chose qui est certaine, c’est que l’Internet est devenu très dangereux.