Publié le 30-08-2005 dans le thème Virus - Antivirus

Pays : International - Auteur : Damien Bancal

Pub : CA Anti-Spyware 2007 - Les logiciels espions sont notre cible avant que vous ne deveniez la leur!

Comment Microsoft, le FBi et les polices marocaines et turques ont remonté la trace des pirates ? Voici des documents exclusifs qui vont vous permettre de comprendre cette traque, comme si vous y étiez.
Par Damien Bancal

9 août 2005. Microsoft patch une faille découverte dans l'un de ces codes. Quelques heures plus tard, les 1er exploits exploitant cette vulnérabilité sont diffusés sur Internet. Le 14 août, un code malicieux va en découler. Baptisé Zotob, il vise les machines sous Windows 2000. Plusieurs inportantes sociétés américaines vont être touchées par cette attaque. Les éditeurs d'antivirus sont sollicitées quelques heures aprés l'attaque du mois d'août. Le FBI est sur les dents et lance ses limiers sur la toile. Une intrusion qui était pourtant prévisible. Fin juillet, des tests, par les pirates, sont lancés via deux serveurs : Jb1tch.alboz-elite.net et irc.askevi.net.

Lundi 23 août 2005, le FBI implique les polices marocaines et turcs dans l'enquête. Les auteurs de cette infection se situent de l'autre côté de l'Altantique. Mardi 24 août, les premiers suspects sont tracés... de maniére trés simple, et pour cause. L'un des sites ayant permis de diffuser le code n'est rien d'autre que atillaekici.net, le nom de l'un des auteurs présumé de Zotob (1).

Mardi 24 août. Les adresses électroniques des premiers pirates sont toutes tracées. Farid Essebar, alias Diablo est ciblé au Maroc (2). Le second pirate, Attila, ne sera pas plus compliqué à suivre. Sur la dizaine de noms de domaines employés par les trashers, trois portent le nom de famille réel de l'un d'eux : atillaekici.net, atillaekici.com, ekiciailesi.com.

Le site Turkcoders

Attila est le membre fondateurs de plusieurs communautés, dont Turk Coders (turkcoders.net - hébergé chez Google, ndlr) ou encore Aydan Kaya (aydankaya.org). On retrouvera encore sa trace sur les sites ekiciailesi.com, Askevi.net, turkintikamtugayi.com. C'est ici que l'on découvre que Daemon n'est pas seul. Au moins une quinzaine d'autres Turcs et, au moins, dix autres internautes sont impliqués dans ce "délire" d'adolescents.

Microsoft a contacté, dans un premier temps l'ensemble des entreprises plus ou moins proche de l'action des pirates (3). Parmi les entreprises, EURODNS, registar luxembourgeois chez qui un grand nombre de noms de domaines déposés par le pirate étaient enregistrés. Grace à l'action d'EURODNS, le virus ZOTOB a été quasiment bloqué de l'Internet. Pour eradiquer l'attaque, EURODNS a désactiver les domaines les plus actifs, atillaekici.net et son sous domaine real.atillaekici.net. Un site créé en mai 2003 qui n'avait pas été prévu pour devenir l'ennemi public numéro un du web. Attila avait enregistré ce domaine sous le nom de Polat Alemdar, via le mel atillaekici@yahoo.com. Les autres url cités dans cet article ont été enregistrés par Attila, sous le mel masteratilla@yahoo.com.

Voici, en exclusivité, les statistiques, sur 24h, des requêtes DNS de ce nom de domaine. Ce sous-domaine faisait partie du top 10 des domaines les plus interroger sur EuroDNS. C'est ainsi que EuroDNS a pu détecter l'utilisation malveillante de ce domaine et a décider de couper les zones concernées. Voici les autres sous domaines (exclu ZATAZ) employés par le pirate et ses amis :

akrep.aydankaya.org
avt.aydankaya.org
listen.aydankaya.org
crazy.aydankaya.org
dark.aydankaya.org
lords.aydankaya.org
sezen.aydankaya.org
www.aydankaya.org
web.aydankaya.org

Voici le nombre de queries (requetes), sur le site du pirate, durant le mois d'août
et le jour de l'attaque.

diabl0.turkcoders.net
ayca.turkcoders.net
www.turkcoders.net
wisdom.turkcoders.net
local.turkcoders.net
ice.turkcoders.net
moon.turkcoders.net

coder.askevi.net
firecoder.askevi.net
irc.askevi.net
smile.askevi.net
root.askevi.net

ns.ekiciailesi.com
web.ekiciailesi.com

real.atillaekici.net
then.atillaekici.net
hun.atillaekici.net
kernel.atillaekici.net
wait.atillaekici.net
ataturk.atillaekici.net
buyeni.atillaekici.net

windows.turkintikamtugayi.com
ds.turkintikamtugayi.com
name.turkintikamtugayi.com

De son côté Microsoft a fait appel à plusieurs entités privées pour traquer et eradiquer le microbe. Parmi les sociétés, la team Cymru. Mission aider les ISP à protéger les clients. Microsoft a d'ailleurs écrit au registar afin de tracer l'ensemble des amis de Daemon et Coder. Le mel de Microsoft précise ceci : "(...) 1) Lock the RR and point it to something unrouted (such as 127.0.0.1) and set the TTL to the max possible value (...) 2) Keep any logs you have of the accounts (connection info, modification history, etc.) for the law enforcement agencies (...) 3) If possible collect IPs of the infected machines trying to connect. We work with a private company that works with the ISPs to get the victims disinfected. (...)"

En moins d'un mois l'affaire a été bouclée. preuve qu'aujourd'hui, l'anonymat sur la toile est de plus en plus aléatoire. Esperons que ce triste exemple face comprendre à certains internautes que l'Internet n'est pas un jouet ou il est bon de faire n'importe quoi.

# Liens connexes

Daemon, le jour de son arrestation

Les AntiVirus proposés par ZATAZ

Vaste piratage de données bancaires en Europe

Un impressionnant piratage de cartes bancaires découvert en Grande Bretagne, Irlande, Belgique, Pays Bas et Danemark. Les voleurs ont installé du matériel pirate qui renvoyait les données au Pakistan.

Trojan.Silentbanker

Plus discret et plus intelligent, Trojan.Silentbanker ou le cheval de Troie qui ferait pâlir d´envie Ulysse et Jesse James.

Musique gratuite pour téléphone portable

Le constructeur finlandais Nokia va mettre en place, jeudi prochain, son offre de musique illimitée sur mobile.

Consortium Actimize

Pour lutter mondialement contre les fraudes à la carte de paiement, Actimize se dote d´une nouvelle technologie d´analyse et acquiert les droits d´exploitation de données issues d´un consortium représentant des milliards de transactions.

Les faux anti-spyware innondent le web !

Une nouvelle menace qui risque de s´amplifier dans les mois à venir : les faux anti-spyware. Ces attaques passaient jusqu´alors inaperçues. Aujourd´hui, elles prennent une tout autre dimension.

Protection antivirus et sauvegarde

Les solutions antivirus ESET NOD32 et ESET Smart Security s´associent à Carbonite afin d´offrir à tout nouvel utilisateur ESET, la sauvegarde en ligne de leurs données pendant 1 an.

Dictao présente son portail de signature électronique

Dictao, éditeur de référence de produits logiciels pour les applications de dématérialisation des flux reposant sur la signature électronique, sera présent aux Assises de la Sécurité 2008, à Monaco.

Prévention contre les fuites de données

La prévention contre les fuites de données de Websense est désormais disponible pour les postes de travail, avec une intégration à la passerelle de sécurité Internet.

Trojan.Silentbanker

Plus discret et plus intelligent, Trojan.Silentbanker ou le cheval de Troie qui ferait pâlir d´envie Ulysse et Jesse James.

Les faux anti-spyware innondent le web !

Une nouvelle menace qui risque de s´amplifier dans les mois à venir : les faux anti-spyware. Ces attaques passaient jusqu´alors inaperçues. Aujourd´hui, elles prennent une tout autre dimension.

Protection antivirus et sauvegarde

Les solutions antivirus ESET NOD32 et ESET Smart Security s´associent à Carbonite afin d´offrir à tout nouvel utilisateur ESET, la sauvegarde en ligne de leurs données pendant 1 an.

Online Backup de F-Secure

Le nouveau service de sauvegarde en ligne illimitée de F-Secure est disponible pour les FAI.

EeePC infecté en usine par un virus informatique

Le grand frêre du petit portable d'ASUS, le EeeBox, infecté par un virus lors de sa fabrication.

BitDefender rejoint l´association ELA dans son combat contre la leucodystrophie

BitDefender, annonce son engagement auprès de l´association ELA dans son combat contre la leucodystrophie.

Piége électronique sur le site de DJ Verano

Une des stars de la scène elecro, DJ Verano, se fait pirater son site Internet. Un virus serait passé par là.

Neosploit is not dead

Découverte : Neosploit n´a pas disparu. Démonstration d´une stratégie astucieuse avec la mise en place de Neosploit 3.1

Réagissez à ce contenu