La traque de Zotob comme si vous y étiez

Publié le 30-08-2005 dans le thème Virus - Antivirus

Pays : International - Auteur : Damien Bancal

Pub : Tous les antivirus en ligne pour désinfecter votre ordinateur

Note des lecteurs: 1.4/5

Comment Microsoft, le FBi et les polices marocaines et turques ont remonté la trace des pirates ? Voici des documents exclusifs qui vont vous permettre de comprendre cette traque, comme si vous y étiez.
Par Damien Bancal

9 août 2005. Microsoft patch une faille découverte dans l'un de ces codes. Quelques heures plus tard, les 1er exploits exploitant cette vulnérabilité sont diffusés sur Internet. Le 14 août, un code malicieux va en découler. Baptisé Zotob, il vise les machines sous Windows 2000. Plusieurs inportantes sociétés américaines vont être touchées par cette attaque. Les éditeurs d'antivirus sont sollicitées quelques heures aprés l'attaque du mois d'août. Le FBI est sur les dents et lance ses limiers sur la toile. Une intrusion qui était pourtant prévisible. Fin juillet, des tests, par les pirates, sont lancés via deux serveurs : Jb1tch.alboz-elite.net et irc.askevi.net.

Lundi 23 août 2005, le FBI implique les polices marocaines et turcs dans l'enquête. Les auteurs de cette infection se situent de l'autre côté de l'Altantique. Mardi 24 août, les premiers suspects sont tracés... de maniére trés simple, et pour cause. L'un des sites ayant permis de diffuser le code n'est rien d'autre que atillaekici.net, le nom de l'un des auteurs présumé de Zotob (1).

Mardi 24 août. Les adresses électroniques des premiers pirates sont toutes tracées. Farid Essebar, alias Diablo est ciblé au Maroc (2). Le second pirate, Attila, ne sera pas plus compliqué à suivre. Sur la dizaine de noms de domaines employés par les trashers, trois portent le nom de famille réel de l'un d'eux : atillaekici.net, atillaekici.com, ekiciailesi.com.

Le site Turkcoders

Attila est le membre fondateurs de plusieurs communautés, dont Turk Coders (turkcoders.net - hébergé chez Google, ndlr) ou encore Aydan Kaya (aydankaya.org). On retrouvera encore sa trace sur les sites ekiciailesi.com, Askevi.net, turkintikamtugayi.com. C'est ici que l'on découvre que Daemon n'est pas seul. Au moins une quinzaine d'autres Turcs et, au moins, dix autres internautes sont impliqués dans ce "délire" d'adolescents.

Microsoft a contacté, dans un premier temps l'ensemble des entreprises plus ou moins proche de l'action des pirates (3). Parmi les entreprises, EURODNS, registar luxembourgeois chez qui un grand nombre de noms de domaines déposés par le pirate étaient enregistrés. Grace à l'action d'EURODNS, le virus ZOTOB a été quasiment bloqué de l'Internet. Pour eradiquer l'attaque, EURODNS a désactiver les domaines les plus actifs, atillaekici.net et son sous domaine real.atillaekici.net. Un site créé en mai 2003 qui n'avait pas été prévu pour devenir l'ennemi public numéro un du web. Attila avait enregistré ce domaine sous le nom de Polat Alemdar, via le mel [email protected] Les autres url cités dans cet article ont été enregistrés par Attila, sous le mel [email protected]

Voici, en exclusivité, les statistiques, sur 24h, des requêtes DNS de ce nom de domaine. Ce sous-domaine faisait partie du top 10 des domaines les plus interroger sur EuroDNS. C'est ainsi que EuroDNS a pu détecter l'utilisation malveillante de ce domaine et a décider de couper les zones concernées. Voici les autres sous domaines (exclu ZATAZ) employés par le pirate et ses amis :

akrep.aydankaya.org
avt.aydankaya.org
listen.aydankaya.org
crazy.aydankaya.org
dark.aydankaya.org
lords.aydankaya.org
sezen.aydankaya.org
www.aydankaya.org
web.aydankaya.org

Voici le nombre de queries (requetes), sur le site du pirate, durant le mois d'août
et le jour de l'attaque.

diabl0.turkcoders.net
ayca.turkcoders.net
www.turkcoders.net
wisdom.turkcoders.net
local.turkcoders.net
ice.turkcoders.net
moon.turkcoders.net

coder.askevi.net
firecoder.askevi.net
irc.askevi.net
smile.askevi.net
root.askevi.net

ns.ekiciailesi.com
web.ekiciailesi.com

real.atillaekici.net
then.atillaekici.net
hun.atillaekici.net
kernel.atillaekici.net
wait.atillaekici.net
ataturk.atillaekici.net
buyeni.atillaekici.net

windows.turkintikamtugayi.com
ds.turkintikamtugayi.com
name.turkintikamtugayi.com

De son côté Microsoft a fait appel à plusieurs entités privées pour traquer et eradiquer le microbe. Parmi les sociétés, la team Cymru. Mission aider les ISP à protéger les clients. Microsoft a d'ailleurs écrit au registar afin de tracer l'ensemble des amis de Daemon et Coder. Le mel de Microsoft précise ceci : "(...) 1) Lock the RR and point it to something unrouted (such as 127.0.0.1) and set the TTL to the max possible value (...) 2) Keep any logs you have of the accounts (connection info, modification history, etc.) for the law enforcement agencies (...) 3) If possible collect IPs of the infected machines trying to connect. We work with a private company that works with the ISPs to get the victims disinfected. (...)"

En moins d'un mois l'affaire a été bouclée. preuve qu'aujourd'hui, l'anonymat sur la toile est de plus en plus aléatoire. Esperons que ce triste exemple face comprendre à certains internautes que l'Internet n'est pas un jouet ou il est bon de faire n'importe quoi.