Publié le 30-08-2005 dans le thème Virus - Antivirus

Pays : International - Auteur : Damien Bancal

Pub : 100 DVD vierges déjà pour 22,90 EUR

Comment Microsoft, le FBi et les polices marocaines et turques ont remonté la trace des pirates ? Voici des documents exclusifs qui vont vous permettre de comprendre cette traque, comme si vous y étiez.
Par Damien Bancal

9 août 2005. Microsoft patch une faille découverte dans l'un de ces codes. Quelques heures plus tard, les 1er exploits exploitant cette vulnérabilité sont diffusés sur Internet. Le 14 août, un code malicieux va en découler. Baptisé Zotob, il vise les machines sous Windows 2000. Plusieurs inportantes sociétés américaines vont être touchées par cette attaque. Les éditeurs d'antivirus sont sollicitées quelques heures aprés l'attaque du mois d'août. Le FBI est sur les dents et lance ses limiers sur la toile. Une intrusion qui était pourtant prévisible. Fin juillet, des tests, par les pirates, sont lancés via deux serveurs : Jb1tch.alboz-elite.net et irc.askevi.net.

Lundi 23 août 2005, le FBI implique les polices marocaines et turcs dans l'enquête. Les auteurs de cette infection se situent de l'autre côté de l'Altantique. Mardi 24 août, les premiers suspects sont tracés... de maniére trés simple, et pour cause. L'un des sites ayant permis de diffuser le code n'est rien d'autre que atillaekici.net, le nom de l'un des auteurs présumé de Zotob (1).

Mardi 24 août. Les adresses électroniques des premiers pirates sont toutes tracées. Farid Essebar, alias Diablo est ciblé au Maroc (2). Le second pirate, Attila, ne sera pas plus compliqué à suivre. Sur la dizaine de noms de domaines employés par les trashers, trois portent le nom de famille réel de l'un d'eux : atillaekici.net, atillaekici.com, ekiciailesi.com.

Le site Turkcoders

Attila est le membre fondateurs de plusieurs communautés, dont Turk Coders (turkcoders.net - hébergé chez Google, ndlr) ou encore Aydan Kaya (aydankaya.org). On retrouvera encore sa trace sur les sites ekiciailesi.com, Askevi.net, turkintikamtugayi.com. C'est ici que l'on découvre que Daemon n'est pas seul. Au moins une quinzaine d'autres Turcs et, au moins, dix autres internautes sont impliqués dans ce "délire" d'adolescents.

Microsoft a contacté, dans un premier temps l'ensemble des entreprises plus ou moins proche de l'action des pirates (3). Parmi les entreprises, EURODNS, registar luxembourgeois chez qui un grand nombre de noms de domaines déposés par le pirate étaient enregistrés. Grace à l'action d'EURODNS, le virus ZOTOB a été quasiment bloqué de l'Internet. Pour eradiquer l'attaque, EURODNS a désactiver les domaines les plus actifs, atillaekici.net et son sous domaine real.atillaekici.net. Un site créé en mai 2003 qui n'avait pas été prévu pour devenir l'ennemi public numéro un du web. Attila avait enregistré ce domaine sous le nom de Polat Alemdar, via le mel atillaekici@yahoo.com. Les autres url cités dans cet article ont été enregistrés par Attila, sous le mel masteratilla@yahoo.com.

Voici, en exclusivité, les statistiques, sur 24h, des requêtes DNS de ce nom de domaine. Ce sous-domaine faisait partie du top 10 des domaines les plus interroger sur EuroDNS. C'est ainsi que EuroDNS a pu détecter l'utilisation malveillante de ce domaine et a décider de couper les zones concernées. Voici les autres sous domaines (exclu ZATAZ) employés par le pirate et ses amis :

akrep.aydankaya.org
avt.aydankaya.org
listen.aydankaya.org
crazy.aydankaya.org
dark.aydankaya.org
lords.aydankaya.org
sezen.aydankaya.org
www.aydankaya.org
web.aydankaya.org

Voici le nombre de queries (requetes), sur le site du pirate, durant le mois d'août
et le jour de l'attaque.

diabl0.turkcoders.net
ayca.turkcoders.net
www.turkcoders.net
wisdom.turkcoders.net
local.turkcoders.net
ice.turkcoders.net
moon.turkcoders.net

coder.askevi.net
firecoder.askevi.net
irc.askevi.net
smile.askevi.net
root.askevi.net

ns.ekiciailesi.com
web.ekiciailesi.com

real.atillaekici.net
then.atillaekici.net
hun.atillaekici.net
kernel.atillaekici.net
wait.atillaekici.net
ataturk.atillaekici.net
buyeni.atillaekici.net

windows.turkintikamtugayi.com
ds.turkintikamtugayi.com
name.turkintikamtugayi.com

De son côté Microsoft a fait appel à plusieurs entités privées pour traquer et eradiquer le microbe. Parmi les sociétés, la team Cymru. Mission aider les ISP à protéger les clients. Microsoft a d'ailleurs écrit au registar afin de tracer l'ensemble des amis de Daemon et Coder. Le mel de Microsoft précise ceci : "(...) 1) Lock the RR and point it to something unrouted (such as 127.0.0.1) and set the TTL to the max possible value (...) 2) Keep any logs you have of the accounts (connection info, modification history, etc.) for the law enforcement agencies (...) 3) If possible collect IPs of the infected machines trying to connect. We work with a private company that works with the ISPs to get the victims disinfected. (...)"

En moins d'un mois l'affaire a été bouclée. preuve qu'aujourd'hui, l'anonymat sur la toile est de plus en plus aléatoire. Esperons que ce triste exemple face comprendre à certains internautes que l'Internet n'est pas un jouet ou il est bon de faire n'importe quoi.

# Liens connexes

Daemon, le jour de son arrestation

Les AntiVirus proposés par ZATAZ

5 pirates de sites web arrêtés

Cinq défaceurs de sites Internet arrêtés en Espagne. Ils auraient modifié en deux ans 21.000 pages web.

Vulnérabilité critique dans MessengerFX

Un client très populaire pour Windows Live Messenger, MessengerFX, laisse la possibilité à un pirate d'accéder à la liste des contacts d'un utilisateur légitime.

L’OTAN s'arme face aux cyberguerriers

Le Centre de formation à la défense contre des attaques cybernétiques sur Internet va ouvrir en Estonie.

Network Products Guide DefensePro

Radware reçoit le prix de l’innovation produit 2008 du Network Products Guide DefensePro, lauréat dans la catégorie de la sécurité comportementale.

Scene 1, bobine 2. Deconnexion de pirate Internet, action

La première déconnexion pour piratage de musique sur Internet vient de toucher un pirate informatique pas comme les autres. Un gouvernement !

Veni, Vidi, Wistee

Nouvelle attaque informatique de type hameçonnage visant les clients de Paypal. Wistee de nouveau exploité par des pirates.

NDS jugé non coupable de piratage informatique

Le jugement sur l'affaire du piratage du système de chiffrement des chaînes de télévision à péage se termine par le blanchiment du principal accusé, NDS.

Le SP3 a des ratés... bis !

Les problèmes du Service Pack 3 dédié à Windows XP n'a pas fini de pertuber les utilisateurs. Aujourd'hui, la fermeture intempestive de certains ordinateurs.

Kaspersky devant la justice américaine

Une société Internet dédiée au marketing attaque en justice l'éditeur d'antivirus Kaspersky. Elle reproche aux chasseurs de e-microbes de l'avoir classifié comme dangereuse.

Nouvelle menace : le ver Kraken continue de faire des ravages

PC Tools révèle les détails de ses recherches menées sur la dernière variante du ver Kraken.

Yahoo piégée par des publicités pirates

Le portail Internet Yahoo! A connu une mésaventure plutôt désagréable... surtout pour les internautes. Des fausses publicités cachées un vrai virus.

4 PC sur 10 seraient mort-vivant

43% des ordinateurs piégés par des pirates informatiques sont basés en Europe. La France en cacherait 2 sur 100.

ESET annonce la prise en charge des Serveurs Windows Server 2008

Les solutions ESET sont également compatibles avec les derniers Services Packs pour Vista et XP.

Chevaux de Troie aux JO 2008

Au moins treize programmes malveillants surfent sur la mode des Jeux Olympiques de 2008. Des attaques ciblées.

Hayden Panettiere e-piégée

L'actrice Hayden Panettiere, de la série Heroes, a un serieux problème sur son site web. Attention, danger !

Un trojan dans Skype ?

Un espion dans votre oreille ? Le logiciel de sécurité informatique de Microsoft, OneCare, annonce que Skype cache en son sein un cheval de troie.

Réagissez à ce contenu