Je m’appelle Arkady, j’ai bientôt 28 ans, je suis Russe, junkie de mon état et accessoirement professionnel de tout ce qui se fait de pire en matière d’Internet.

D’aussi loin que je me rappelle de ma jeunesse, j’ai toujours eu un faible pour le cinéma Italo-Americain de Scorsese, De Palma et surtout Copola. Ce sont certainement ces réalisateurs qui ont donné toute leur lettre de noblesse aux bandits de la Cosa Nostra. Mais je ne peux m’empêcher de penser que s’ils avaient su tout ce que nous sommes désormais capables de faire, nous autres Bratva, alors Robert de Niro aurait certainement pû jouer Flyman, le mystérieux leader de la Russian Business Network.

Car nous sommes désormais des gens riches et puissants, et ce grâce à cette fabuleuse mine d’or qui s’appelle l’Internet. Cela fait maintenant plus de 8 ans que ma vie a été transformée par le e-eldorado. Je n’étais alors qu’un minable étudiant en informatique, épuisé par les milliers de lignes de code Cobol et C données par mes professeurs de l’ETU, l’université de  Saint Petersbourg. Mais après les cours, le pitoyable Arkady commençait à faire ses armes sur la toile au commande de quelques puissants systèmes Unix, généreusement « prêtés » par son université. J’étais encore pauvre, incapable de me payer ne fut-ce qu’une simple connexion RTC; heureusement que j’avais à ma disposition mon accès universitaire qui m’a ouvert à peu près toutes les portes de la criminalité informatique mondiale. Dieu bénisse la Sainte Russie.

Car j’ai vite découvert que dans cet endroit sans frontière, la fortune n’était qu’à deux doigts, ceux que j’utilisais au début pour communiquer et créer ce qui allait devenir mon véritable empire.

J’ai commencé comme tout le monde: par le spam. Avec un script de ma composition, s’appuyant sur des relais ouverts trouvés dans les groupes de discussion, j’étais capable d’envoyer des dizaines de milliers d’emails par jour sur toute la planète. La promotion, c’était bien entendu ce qu’il y avait de plus simple: du porno. Je faisais entre une à dix conversions par jour, ce qui pouvait me rapportait jusqu’à $100 quotidiennement; pour un petit étudiant fauché comme moi, c’était l’Amérique ! Cette histoire a duré quelques mois jusqu’au jour ou toute une partie du bloc IP de mon université a été blacklistée par Spamhaus. Les deux administrateurs réseaux de l’école étaient de vieux fonctionnaires de l’époque soviétique qui n’avaient jamais prêté attention à « mes activités ». Mais cette fois-ci, c’était différent, au vue de la gravité de la situation: la plupart des mails de l’université était systématiquement rejetée. Je suis passé en conseil de discipline et ce n’est que de justesse que je n’ai pas été renvoyé.

Quelque part grisé par mon « exploit » et aussi par le bon filon, j’ai néanmoins continué depuis chez moi via ma toute nouvelle et très couteuse ligne RTC. Mais mon expérience universitaire m’avait appris à être prudent: afin de brouiller les pistes, je multipliais les relais ouverts, et aussi changeais régulièrement mon adresse IP en redémarrant mon modem analogique. Le problème, c’est que j’y ai beaucoup perdu en terme de performances. Passer d’une connexion T1 à un simple RTC à 33kb, pas fiable de surcroit, mes conversions ont chuté dramatiquement: il y avait même des jours où je ne gagnais pas d’argent !

C’est aussi à cette époque que je me suis diversifié vers le spam via les failles des formulaires mail: plus discret, et plus fiable, j’ai réussi quelques bons coups avec cette technique. Et parallèlement, c’est aussi à ce moment que je me suis mis à fumer beaucoup de marijuana essentiellement chez moi.

Un jour, alors que j’étais en plein « travail » (ma dose de spam quotidienne, agrémenté d’un bon joint), un magnifique BSoD a magistralement planté mon ordinateur. Après quelques heures passées à réparer les quelques dégats constatés, j’ai découvert quelque chose qui allait changer radicalement ma conception de faire des affaires sur Internet: j’avais été contaminé par un ver.

Cette histoire m’a fait longuement cogité, et ce pendant plusieurs nuits. Mon business n’allait pas très bien, essentiellement à cause du débit largement insuffisant de ma connexion et des précautions dont je m’étais entouré. Et voilà qu’un programme informatique pénètre sur mon PC, et commence à utiliser mes précieuses ressources, déjà bien limitées. Je me suis alors dit que je tenais là certainement la solution à mon problème de performance: il fallait que j’aille chercher ailleurs ce que j’étais pour l’heure incapable de fournir.

Mon idée était toute simple: j’allais développer un cheval de Troie qui une fois installé, me permettrait d’envoyer mes spams en profitant de la connexion de ma « victime ». J’ai mis deux mois pour développer mon parfait petit système. Celui se présentait sous forme d’un simple processus Windows qui prenait ses directives via un canal IRC dissimulé. Je pouvais envoyer des spams et aussi mettre à jour le programme à distance. Mon cheval n’était pas un ver, un système capable de s’autorepliquer, il fallait qu’il soit exécuté pour pouvoir être installé. J’ai utilisé le P2P ainsi que les canaux warez pour propager ma création. En le dissimulant par exemple dans un générateur de clé ou un crack, j’ai rapidement pu disposer de plusieurs centaines de machines « infectées », essentiellement basées en Europe ou aux Etats-Unis et pourvues de connexions DSL. C’est là que j’ai fait un malheur ! J’étais capable d’envoyer des dizaines de milliers d’emails par jour, avec bien entendu toutes les retombées financières qui vont avec. En ce mémorable 8 mai 2002, j’ai réussi à gagner $2203 en une seule journée, grâce à une performante affiliation pornographique dont j’avais réussi à avoir l’exclusivité via une de mes Partnerka.

A ce sujet, je pense avoir eu beaucoup de chances dans ma vie. Car on ne rentre pas comme cela dans une Partnerka, nos plateformes d’affiliation en Russie. Contrairement à celles que l’on voit en Europe, nos Partnerka ont beaucoup moins pignon sur rue; elles sont discrètes, et il faut montrer patte blanche pour pouvoir espérer un jour y rentrer. Pour ma part, cela a commencé en fréquentant un forum de Webmasters de chez nous. On savait tous qu’il y avait des gens des Partnerka parmi les membres, mais la plupart du temps, ils n’intervenaient que très rarement. On les reconnaissait à leur signature et leur manière unique de communiquer: l’ICQ. Il était inutile de leur envoyer un MP, ils ne répondaient que très rarement, voir même ils finissaient par filtrer les plus insistants d’entre nous. Certains des nôtres avaient fini par rentrer chez eux, mais ils restaient discret sur ce qu’ils faisaient et nous affirmaient toutefois que « cela valait le coup mais qu’il fallait faire ses preuves ».

A la longue, j’ai fini par tisser des liens avec un type que j’ai beaucoup aidé en PHP, un certain Voevoda666, Venyamin de son vrai nom. Or celui-ci avait déjà réussi à rentrer chez Topsold2.ru, une Partnerka montante. Il m’a parrainé et j’ai été accepté après avoir discuté au téléphone avec leur AM (Gestionnaire de comptes), un Arménien du nom de Vardan. Au fil des années, je suis resté en contact avec Vardan. Nous sommes d’ailleurs devenus assez proches, et il est sans conteste, le rare ami que je n’ai jamais eu dans le « business ». Car Vardan m’a beaucoup aidé, de par ses étroites relations et aussi de son implication dans le monde des Partnerka. Le jour où il quittait Topsold2.ru pour créer sa propre Partnerka, j’ai été son premier affilié. Et c’est aussi lui qui m’a initié à la coke :-]

Les années qui suivirent ont vu la professionnalisation de mes activités sur Internet: je suis devenu rapidement un spécialiste pour faire de l’argent par tous les moyens possible et inimaginable. J’ai touché à tout et pratiquement tout fait: à coup de Xrumer, je suis devenu un spammeur chimique grâce à l’obscur Canadian Pharmacy. J’ai installé des dizaines de milliers de faux Codecs, antivirus, spywares. Vendu des fausses montres et évidemment trempé dans les juteux marchés du casino, des rencontres, et bien entendu continué comme pas un dans le porno. Je dois dire que Vardan y est aussi pour beaucoup dans ma réussite, il avait toujours le chic pour me trouver un bon produit à promouvoir. En bref, c’est essentiellement grâce à sa Partnerka que je suis devenu riche avec des revenus qui pouvaient atteindre plus de $20000 par mois.

Les moyens pour y arriver sont simples: du volume, de l’industrialisation et même de la sous-traitance. J’ai continué à spammer de plus belle par mail; grâce à un très gros travail d’automatisation, je suis arrivé au chiffre astronomique de 700000 mails envoyés par jour. J’ai aussi utilisé toute la panoplie du Blackhateur en herbe, comme Xrumer, Scrapebox, Senuke. Mais jouer à cache-cache avec Google a finis par me lasser; par ailleurs, il est fort hasardeux de baser tout un chiffre d’affaire uniquement sur le bon vouloir d’un seul moteur de recherche ! J’ai aussi beaucoup utilisé les régies PPC de seconde zone qui vous demandent 1 centime du clic. Au début, j’étais tellement mauvais à ce jeu que j’ai payé un type pour le faire à ma place. A force d’observer ce qu’il faisait, j’ai fini par comprendre le truc, mais il était plus rentable de continuer la sous-traitance. J’ai même poussé le vice à aller injecter des ActiveX « malsains » dans des publicités à la bannière sur des forums adultes.

De toutes les manières, quand vous connaissez les ficelles de ce milieu, vous arrivez toujours à faire de l’argent ou à faire faire de l’argent pour vous par quelqu’un d’autres.
Par exemple, vous achetez un « blast Xrumer » pour $35 qui peut vous rapporter 10 fois plus en même pas une semaine. Vous pouvez aussi vous procurer de la longue traine extrêmement bien ciblée à partir de 1 centime l’expression. Si vous faites 1% de conversion sur un produit de type Forex qui se vend $50, il vous faut donc investir seulement $1. Il y a même des gens qui louent leur botnets pour que vous puissiez envoyer vos spams ou plus subtile, monter des escroqueries au CPM, au CPA ou au parking de domaine. En bref, les moyens possible sont légions pour qui veut gagner de l’argent mais il faut savoir différencier les coups d’un véritable emploi à plein temps.

Il est arrivé un jour où j’ai pris un peu de recul sur mes activités, notamment sur le côté éthique de tout ce que j’avais accompli en une dizaine d’années. J’en avais fait quand même des belles durant tout ce temps, et il est clair que plusieurs fois, j’aurai peut être pu finir dans les goulags de Sibérie. Mais j’ai toujours eu un avantage certain: le fait d’être russe. Notre pays n’est pas tellement en avance en matière de législation sur la criminalité informatique, et nos dirigeants ont bien d’autres chats à fouetter que de s’occuper de malheureux spams. Je me suis souvent dit que finalement, je ne faisais pas véritablement de mal à mon prochain, que je n’étais qu’une sorte de profiteur des failles d’un système complétement ouvert. Et aux quelques rares détracteurs que j’ai parfois côtoyé, je n’ai eu qu’un seul mot: « des clous ! » La seule véritable limite que je me suis imposé est de ne jamais faire de pédo-pornographie; pour tout le reste, je ne me suis jamais véritablement posé de question: ce n’est que du business, et pas forcément illégal, du moins pas chez nous.

Il est maintenant 3 heures du matin, je vais rentrer chez moi me coucher, seul comme d’habitude. Qui voudrait d’un type comme moi, un nerd certes aisé mais quand même complétement jeté ? En chemin, je me prendrai sans aucun doute une dernière dose de Tianeptine, histoire d’écourter encore plus le délai qui m’amène irrémédiablement vers ma tragique destinée.

Aujourd’hui, ce ne serait évidemment plus possible, car nous avons affaire à des millions de virus, vers, chevaux de Troie, sans compter tous les Spywares, Adwares qui hantent l’Internet: heureusement nous disposons d'antivirus tout simplement téléchargeables, comme cloud pour venir contrer tous ces parasites- il faudrait forcément rassembler une équipe tant les proportions d’infection sont grandes. On peut véritablement parler d’épidémie, et ceci dure depuis déjà de nombreuses années sans que l’on puisse en voir la fin.

Connaissant ce milieu, je me suis penché sur les motivations qui peuvent pousser quelqu’un à écrire un virus. Vous verrez qu’elles offrent un large éventail de profils bien distincts les uns des autres. Elles sont aussi à la hauteur du nombre gigantesque de malwares que l’on recense chaque jour.

La première motivation est le défi intellectuel. En effet, ce n’est pas forcément donné à tout le monde de coder un virus, capable d’infecter des millions de machines. Pour avoir déjà désassembler quelques virus, il faut parfois une très bonne maitrise technique pour arriver à produire « quelque chose » de performant. Je vous laisse imaginer le défi que cela représente d’aller inspecter les entrailles de Windows et  pondre un code capable d’exploiter une faille LSASS. Maintenant, la chose est tout de même devenue plus aisée grâce  à l’utilisation de langages plus simple comme le Visual Basic. Mais le résultat ne sera pas forcément spectaculaire; c’est toujours en assembleur que l’on sera capable d’aller au plus loin dans le codage d’un virus. Le défi est finalement similaire au challenge que l’on peut se lancer dans un sport ou une activité extrême.

La deuxième motivation est la vengeance. Lorsque l’on a été brimé par son employeur, par exemple, il est tellement facile de déposer quelque part « une petite cochonnerie », bien cachée au sein du système d’information qui se déclenchera quelques semaines après notre licenciement départ. Ce genre de chose n’est pas à proprement parlé un virus, mais plutôt un cheval de Troie; le but n’étant pas de forcément se reproduire, mais juste de nuire à l’ennemi. Par exemple, on peut imaginer un programme qui, à chaque redémarrage du PC, va aller effacer aléatoirement un fichier stratégique, comme une DLL par exemple.

Notre troisième motivation est la reconnaissance. Si vous faites partie de ceux dont on se moque tout le temps, parce que vous transportez votre ventre dans une brouette, vous avez beaucoup de chances de rentrer dans cette catégorie. En mal de notoriété, vous cherchez le coup d’éclat, vous faire remarquer et créer un virus peut certainement vous aider dans votre quête. Le seul problème, c’est que vous allez devoir affronter un paradoxe que votre esprit n’arrivera pas à résoudre: vous voulez être connu, mais vous savez pertinemment que si vous déclarez sur un forum que vous êtes l’auteur du ver Sasser, vous avez beaucoup de chances d’avoir des problèmes avec la justice. Et pour votre gouverne, les sociétés n’embauchent pas les créateurs de virus, il s’agit d’une légende urbaine. De toutes les manières, il est clair que vous allez avoir des ennuis.

Notre quatrième motivation est sans doute la pire des choses, puisqu’il s’agit de terrorisme.Vous ne l’avez peut être pas remarqué, mais l’Internet grouille de cyber-activistes, cyber-anarchistes, cyber-extrême-machin, etc. A l’image du pyromane qui se délecte de la vue d’un feu de forêt, certains ne rêvent que de destruction. Et l’Internet a ceci de fabuleux, c’est qu’il est un formidable terrain de jeu pour les créateurs de virus destructeurs, capables de semer la destruction des systèmes d’exploitations ou des précieuses données. Et je profite de cette occasion pour vous dévoiler comment on a déjà tenté si ce n’est de détruire l’Internet, mais le ralentir fortement: en lançant un DDOS massif sur les principaux serveurs root.

Et je termine avec la dernière motivation: l’argent. Évidemment, avec les milliards qui transitent sur l’Internet, il est normal que les bandits de grands chemins se soient attaqués à ce nouveau territoire. De plus en plus de Botnets sont désormais utilisés pour des malversations financières. Les précédents exploits du Botnet Mariposa ne sont pas là pour me contredire.

L’histoire a été largement relayée par les médias et pendant un temps il a été suggéré que la cyber-attaque était le fruit d’opérations perpétrées par des hackers patriotiques. Cependant cette attaque, de par son ampleur, sa coordination et son très haut degré de sophistication ne peut vraisemblablement pas voir son origine uniquement dans les actes de hackers indépendants. Plusieurs experts en sécurité informatique ont accusé Moscou d’être derrière ces agissements. Au vue de l’intensité de ces attaques, seul un état aurait été capable de mener à bien ce type d’opération.

Le début du 21eme siècle voit les cyber-attaques se développer à vive allure. Les hautes technologies et les compétences en ligne sont désormais à vendre et ce n’est pas les clients qui manquent : du particulier aux sociétés commerciales, en passant par les organisations terroristes, une cyber-attaque peut déstabiliser un concurrent ou un adversaire et même mettre en péril toute l’organisation économique d’un pays.

Au cours du printemps 2007, le système informatique gouvernemental Estonien a été la victime d’une violente attaque déclenchée par des cyber-terroristes suite à la décision d’officiels Estoniens de déplacer dans un cimetière militaire de Tallinn, la statue d’un soldat de l’armée rouge mort en combattant les Nazis. Cette décision fut l’objet de nombreuses protestations au sein de la minorité Russe d’Estonie. Suite à cela, une vaste attaque à base de déni de service a été déclenchée contre les réseaux gouvernementaux Estoniens. Les attaquants ont bombardé d’innombrables requêtes l’infrastructure Estonienne, bloquant d’innocents utilisateurs et mettant en évidence toute la vulnérabilité du système d’information du pays. Les experts ont estimé que l’assaut avait eu de graves conséquences auprès des banques et des aéroports.

En aout 2008, la Géorgie a été également la victime d’une cyber-attaque massive. Le déni de service a débuté alors même que la Russie envahissait la Géorgie et a continué après que le Kremlin eut annoncé qu’il mettait un terme aux hostilités.

Le 20 juillet, la fondation Shadowserver publia un article sur l’attaque dont fut victime le site web du Président de la Géorgie. « Depuis plus de 24 heures, le site web du président Géorgien Mikhail Saakashvili est indisponible suite à un important déni de service. Le site a été attaqué samedi matin (heure Géorgienne). Nous avons pu observer au moins un serveur Command and Control (C&C) frappant le site au moyen d’attaques simultanées. Le serveur C&C a ordonné à ses bots d’attaquer le site web en l’inondant de requêtes TCP, ICMP et http. »

Le 21 juillet, le site Computerworld écrit, « Au cours du week-end, le site web du président de la Géorgie a été mis hors service par un déni de service, il s’agit d’une attaque de plus dans la longue série des cyber-attaques contre les pays ayant des frictions politiques avec la Russie. »

Le 12 aout, le quotidien New-York Times cite: «Quelques semaines avant que les bombes ne tombent sur la Géorgie, un chercheur en sécurité originaire du Massachusetts a pu observer une attaque du pays dans son cyberespace. »

L’invasion de la Géorgie par la Russie a été précédée d’une cyber-attaque sur les infrastructures Internet de la Géorgie. A partir du 7 aout, soit un jour avant que ne commence l’invasion Russe, un nombre important de serveurs Internet Georgien ont été saisis et placés sous contrôle étranger. Au même instant, la plupart du trafic Internet Géorgien et de ses accès ont également été détournés.

Le piratage du site web du président Mikheil Saakashvili (les photos de ce dernier ont été remplacées par des effigies d’Adolf Hitler) a été la phase initiale du lancement de l’attaque. S’ensuivirent alors de larges dénis de service contre le site, empêchant ainsi le gouvernement Géorgien de communiquer vers sa population et les média internationaux durant cette phase critique.

Après analyse, il s’avère que ces dénis de services n’ont pas été seulement orchestrés de façon traditionnelle via un serveur C&C commandant son botnet, mais bien par de simples injections SQL envoyées sur les serveurs vulnérables. L’avantage est certain : il n’est pas nécessaire de disposer d’un grand nombre de machines zombie, une seule machine suffit pour mettre à genou un serveur.

L’assaut contre le cyberespace Géorgien pourrait avoir été en partie coordonné par la tristement célèbre organisation criminelle Russian Business Network (RBN) qui aurait orchestré un cyber blocus afin de rerouter tout le trafic Internet Géorgien vers la Russie ; cette action a eu comme conséquence de priver la Géorgie de son indépendance Internet.
Des ordinateurs Georgien ont pu constater qu’une attaque était effectivement en cours et que tout le trafic était rerouté.

Deux traceroutes en direction du site des affaires étrangères Géorgien ont montré que :
1 – la route USA – Géorgie était bloquée depuis TTnet Turquie
2 – la route Ukraine – Géorgie était accessible mais très lente; de plus la page du site gouvernemental était fabriquée de toute pièce et redirigée via l’opérateur Bryansk.ru

D’autres analyses des sites web gouvernementaux, tel que celui du ministre de la défense ainsi que celui du Président ont montré
o Que la route USA – Géorgie était bloquée depuis TTnet Turquie
o Que la route Ukraine – Géorgie était également bloquée toujours depuis TTnet Turquie.

En examinant les routes Internet avant et après le début la guerre, il est clair que celles-ci ont été modifiées soit légalement soit illégalement, de sorte que le trafic Internet Géorgien soit bloqué, en entrée et en sortie. Certains de ces accès pourraient être directement sous le contrôle de la Russian Business Network (RBN) : AS8342 RTCOMM (Ru), AS12389 ROSTELECOM (Ru), et surtout AS9121 TTNet (Tk). (Les AS sont des ensembles de réseaux IP sous le contrôle d’une seule et même entité). L’appartenance d’un réseau à la RBN est toutefois toujours très difficile à démontrer dans le sens où cette dernière n’a pas d’existence propre. Pour tracer le champ d’activité de la RBN, on s’efforce de faire des recoupements entre les spams, les sites web et les whois.

Tous ces actes ont demandé une action coordonnée, avec on peut l’imaginer, un état-major, et des généraux qui planifient et envoient leurs soldats. Toutes les attaques ont été menées depuis deux forums de hackers Russes : stopgeorgia.ru (et sa redirection stopgeorgia.info) ainsi que xakep.ru (hacker.ru)

Le forum Stopgeorgia.ru fournissait aux hackers des outils d’attaques contre la Géorgie, mais pas seulement; en fait, c’est tout un processus quasi militaire qui y était organisé : recrutement des nouveaux, endoctrinement, choix des cibles potentielles, livraison des « armes » (scripts et malwares), planification et finalement déclenchement des attaques. Ce forum pourrait avoir été sous la coupe de la RBN au travers d’un de leur gestionnaire de nom de domaine, Estdomain connu pour la conception de faux antivirus et spywares. Stopgeorgia.ru est désormais désactivé et le domaine a été racheté par un indien anonyme.

Dans les jours qui ont suivi le début des hostilités, la guerre de l’information pris un autre tournant sous la forme d’une importante campagne de spam: un message en provenance de la BBC qui affirmait que le président de la Géorgie était homosexuel avec bien entendu, une preuve à l’appui : une vidéo à télécharger. Lorsque la victime cliquait sur le lien, elle téléchargeait un virus « name.avi.exe” depuis l’adresse 79.135.167.49

Parmi tous ces épisodes, le nom de la RBN revient à plusieurs reprises. Cette organisation cybercriminelle est dirigée par Alexandr A. Boykov ainsi qu’un spammeur notoire de Saint Petersbourg appelé Andrey Smirnov.

L’attaque DDOS de juillet émanait de deux serveurs C&C : bizus-kokovs.cc (207.10.234.244) et ns1.guagaga.net (79.135.167.22), une adresse appartenant au réseau turc sistemnet.com.tr, classé au top 10 des pires spammeurs au monde. Vous noterez également que le spam contenant la fausse vidéo provenait de l’adresse 79.135.167.49. Le nom de Mr Boykov est connecté à celui de Sistemnet de par des opérations conjointes de spam de pharmacie. Il possède le réseau IP 81.222.137.0/24 que l’on retrouve régulièrement associé au réseau turc dans les blacklists.

Par déduction, on peut donc conclure que la RBN a été un moment ou un autre impliquée dans le conflit. Mais en restant tout à fait objectif, on pourrait nuancer les propos en disant qu’ au moins les infrastructures de la RBN ont été utilisées au cours des hostilités.

La dernière attaque majeure s’est déroulée le 27 aout. Dans l’après-midi du 27 aout, vers 16h15, une attaque massive a été déclenchée contre le site du ministre des affaires étrangères. L’attaque a connu un pic à 0.5 million de paquets par second, et l’on a pu mesurer entre 200 et 250 Mb de bande passante consommée.

L’attaque consistait principalement en des requêtes http envoyées sur le site http://mfa.gov.ge. Ces requêtes étaient accompagnées de paramètres générés aléatoirement destinés à saturer le serveur. La première vague a beaucoup perturbé les services web qui ont d’abord été ralentis puis ont cessé de fonctionner. Ceci est dû à la surcharge occasionnée par l’amplitude de ces requêtes.

Après cela, aucune autre attaque majeures n’a pu être constatée ; il n’est toutefois pas exclu que des attaques mineures sont toujours en cours mais elles sont difficilement perceptibles et pourraient être contrôlées par des civils.

En conclusion la cyber-attaque n’a eu finalement qu’un impact limité sur la Géorgie, dans le sens où son organisation est assez peu dépendante des technologies de l’information. Des pays comme la Scandinavie et surtout les Etats-Unis auraient beaucoup plus à craindre de ce genre d’attaque. Il a été un moment affirmé que le gouvernement Russe était impliqué dans cet épisode de la guerre, car celle-ci avait été si bien orchestrée que son organisation supposait la participation du gouvernement. Ceci a été démenti par un rapport d’experts indépendants appelé Grey Goose que réfutent toujours les autorités Géorgiennes. Maintenant, encore une fois l’ombre de la sinistre RBN flotte sur un champ de bataille heureusement dépourvu de cadavres.

Même si le chiffre me semble ridiculement bas, il existe une bonne dizaine de Botnets clairement identifiés par des « chasseurs » : le Kraken, composé de plus de 400000 machines capable de générer 9 milliards de spams par jour, le Srizbi autrefois responsable de 60% du spam sur Internet, etc.

Parmi tout cela, l’un de ces Botnet a retenu toute mon attention pour le très haut niveau de technicité employé dans son utilisation: il s’agit du Botnet Storm.

Le Storm, encore appelé Storm Worm, de part son étroite relation avec un cheval de Troie du même nom, a été identifié pour la première fois en Janvier 2007. Les médias prétendent que ce Botnet serait composé de 1 à 50 millions de machines, mais les experts estiment que « seulement » 160000 machines forment ce Botnet.

Bien entendu, il est très difficile de déterminer l’origine du Storm: certains pensent qu’il serait contrôlé directement depuis le sol Américain alors que d’autres estiment, qu’à l’instar de plusieurs de ces « confrères », il serait Russe et même l’œuvre du sinistre Russian Business Network, une occulte organisation cyber-criminelle.

Comme tous les autres Botnet, le but principal du Storm est de générer du spam de nature différente: fichiers PDF ou Excel contenant des images, enregistrement vocal de MP3, texte brut, et email d’hameçonnage (Phishing). Au mois de mars 2008, 20% des spams sur Internet proviendrait du Storm.
Il est également à noter qu’une partie des machines est exclusivement dédiée à l’extension du Botnet, en envoyant par mail des chevaux de Troie chargés d’infecter les machines sur Internet.

Outre le spam, le Botnet est également capable de lancer des attaques DDOS contre d’autres groupes et organisations mais aussi en direction de ceux qui le traquent.

Si le Storm est particulier, c’est que son anatomie est différente des autres Botnet. Au fil du temps, ces auteurs semblent s’être durement focalisés sur la survie de leur création, passant d’une organisation relativement simple et classique à quelque chose de beaucoup plus sophistiquée.

Dans un Botnet rudimentaire, vous trouvez toujours un serveur principal appelé Command and Control (C&C) qui se charge de contacter et de contrôler ces milliers de machines contaminées sur tout le réseau. Pour casser ce type de Botnet, il suffit donc de trouver le C&C et de le désactiver: les machines Zombies sont alors privées de toute commande à distance et rendues partiellement inoffensives.

Le Storm a une approche foncièrement différente et s’organise en différentes couches. Tout en haut de la pyramide, vous avez un C&C tournant sous Apache, et vraisemblablement placé en Russie, selon les dires des experts. Au niveau inférieur, vous trouvez un proxy Nginx chargé de dissimuler la présence du C&C.
Au troisième niveau, vous trouvez une collection de Nginx qui masque le proxy principal du niveau supérieur. Au quatrième niveau se trouvent les nœuds publiques qui agissent comme des reverse proxies et qui renvoient les communications vers le C&C, agissant comme des serveurs DNS fast flux. La technique du fast flux consiste à associer un même nom de domaine à plusieurs IP différentes, et ce rapidement. Finalement, le dernier niveau se compose de milliers de machines serviles, réparties sur tout l’ensemble du réseau.

Le processus d’infection se fait généralement par mail mais peut aussi être déclenché via le réseau P2P. Lorsque la victime a cliqué sur le lien situé dans son mail, le programme va télécharger un fichier exécutable directement depuis un nœud du quatrième niveau. Une fois infectée, la machine compromise et le nœud s’échangent l’adresse IP du nouveau Zombie. L’information est alors envoyée au troisième niveau, puis au second pour finalement parvenir au C&C.

Au deuxième et troisième niveau, les proxies Nginx écoutent le trafic P2P des réseaux Overnet et eDonkey. Overnet est un réseau à base de table de hachage distribuée (DHT) basé sur l’algorithme Kademlia. Il s’agit du même protocole utilisé par les anciennes versions de eDonkey. Depuis octobre 2007, le Storm a changé son protocole: non seulement il utilise Overnet pour communiquer, mais les dernières versions du programme utilisent désormais leur propre réseau P2P. Ce réseau est quasiment identique à Overnet si ce n’est que l’information qui y circule y est encryptée.

Pour identifier les nœuds ainsi que le contenu sur le réseau Overnet, l’algorithme DHT utilise une clé linéaire (Généralement 128 bits) . Tous les algorithmes DHT ont leur propre façon de calculer la distance logique entre deux nœuds ou entre un nœud et du contenu distribué.

Kademlia calcule la distance entre les nœuds en effectuant un ou exclusif entre leur hachage publié.
Lorsqu’une machine souhaite trouver du contenu sur le réseau, elle calcule (ou reçoit) le hachage du contenu et recherche des machines adjacentes à elle même. Ces dernières répondent également en annonçant leurs propres machines adjacentes. Le processus est répété jusqu’à ce qu’une machine soit à même de répondre à la requête de la recherche du contenu.

C’est parce que le réseau Overnet fonctionne sur un modèle de distribution qu’il n’existe aucun annuaire des machines. La liste des machines actives ainsi que le contenu publié sont distribués en petits morceaux directement dans la mémoire de toutes les machines du réseau. C’est toujours l’absence d’annuaire centralisé ainsi que la nature dynamique de ce qui est stocké dans la DHT qui rend le Storm tellement résistant à son démantèlement.

En conclusion, je dirai qu’à la vue de tout ce que j’ai pu lire sur le sujet, ce botnet est un véritable chef d’œuvre de technologie au service du mal. Sa complexité et son architecture lui ont valu le privilège d’être le sujet de plusieurs études, voir même de thèses écrites par des chercheurs de haut niveau. Maintenant, loin de moi de vouloir faire l’apologie du cybercrime, on ne peut que rester perplexe devant un tel déchainement de recherches techniques, de réflexions et d’efforts, surtout pour de si noirs desseins.

Tout d’abord, j’ai reçu en l’espace de 2 minutes près de 400 mails, et à ce jour, je continue d’en recevoir sporadiquement mais en très faible quantité. Ce n’est pas à proprement parler du spam, ni du mail-bombing, mais des bounces (des échecs de livraison). Quelqu’un a utilisé mon adresse publique (sendmail arobase pagasa point net) pour envoyer des courriers non sollicités, et je ne fais que recevoir les erreurs.

La première chose que j’ai constaté est que nous ne sommes plus dans le chemin classique d’expédition du spam. Il y a quelques années, le spammeur utilisait traditionnellement un relai ouvert, un serveur SMTP non sécurisé pour envoyer ses millions de mails. Il n’était alors pas bien difficile de fermer le relai et de passer à autre chose. Cette technique aurait tendance à diminuer mais au vue du nombre de tests que j’ai quotidiennement sur http://www.pagasa.net/test-smtp/, elle n’a pas encore complètement disparu.

Aujourd’hui, ce sont bien des centaines de machines qui sont utilisées pour spammer. Ces machines forment un botnet, un réseau de PCs compromis par des failles de sécurité et pilotés à distance via IRC ou par des requêtes HTML (POST par exemple, pour moins éveiller les soupçons).

Dans mon cas, pratiquement toutes les machines que j’ai repérées sont référencées sur les listes noires comme zombie ou proxy ouverts. Si vous avez un doute sur votre propre machine, vous pouvez tester votre adresse IP via mon script Blacklist.

Ce qui est ennuyeux avec cette histoire, c’est qu’il n’y a aucun moyen d’arrêter le spam en cours, et d’un autre côté, on peut difficilement remonter jusqu’au spammeur en lui même: il faut isoler le zombie et l’inspecter méthodiquement; et encore, on a assez peu de chance de retrouver quoique ce soit: un vrai spammeur ne laisse pas beaucoup de pièces à conviction derrière lui et il n’est pas impossible qu’il chaine ses opérations en faisant piloter un zombie par un autre :-O

Je n’ose pas imaginer le jour où des attaques de grandes envergures seront déclenchées; j’ai d’ailleurs même déjà l’impression que c’est déjà commençé. Les botnets sont sans nulle doute la plus grave menace qui pèse sur l’intégrité de l’Internet.

Au cours de mes investigations, j’ai remarqué que le zombie jouait le rôle d’un agent de transfert (MTA): il est capable d’extraire le MX (Mail Exchanger), ce qui lui permet de communiquer directement avec sa destination, sans passer par un serveur SMTP tiers, celui de son FAI, bien entendu :-)

Mais parfois le zombie détecte la présence d’un serveur SMTP déjà installé en local et l’utilise pour transporter son mail. J’ai pu ainsi repérer quelques Exchanges piratés. Les entêtes que j’ai récupérés prouvent bien une utilisation locale et non un relayage.

En ce qui concerne le spam en lui même, il est destiné à un public russe et peut se présenter sous deux formes:
- Un message écrit en russe, à connotation sexuelle, et invitant à télécharger un Flash sur Imageshack. Un passage à l’antivirus n’a rien donné pour l’instant. Je suppose qu’il s’agit d’un cheval de Troie, exploitant une faille Flash et permettant ainsi à la machine d’incorporer le botnet.
- Le spam en lui même: une invitation au séminaire « UNE VOITURE DANS VOTRE ORGANISATION: comptabilité, fiscalité de l’exploitation » donné par un certain Семенихин В.В, le 26 août 2008. (Merci Google). Aucune URL n’est présente, juste un numéro de téléphone. Curieux, tout de même de spammer pour un séminaire. (Tentative de discrédit par un concurrent ?)

La chose qui est certaine, c’est que l’Internet est devenu très dangereux.