Bienvenue sur ZATAZ

Reportage

La traque de Zotob comme si vous y étiez

Publié le 30-08-2005 dans le thème Virus - Antivirus

Pays : International - Auteur : Damien Bancal

Pub : Tous les antivirus en ligne pour désinfecter votre ordinateur

Note des lecteurs: 1.5/5

Comment Microsoft, le FBi et les polices marocaines et turques ont remonté la trace des pirates ? Voici des documents exclusifs qui vont vous permettre de comprendre cette traque, comme si vous y étiez.
Par Damien Bancal

9 août 2005. Microsoft patch une faille découverte dans l'un de ces codes. Quelques heures plus tard, les 1er exploits exploitant cette vulnérabilité sont diffusés sur Internet. Le 14 août, un code malicieux va en découler. Baptisé Zotob, il vise les machines sous Windows 2000. Plusieurs inportantes sociétés américaines vont être touchées par cette attaque. Les éditeurs d'antivirus sont sollicitées quelques heures aprés l'attaque du mois d'août. Le FBI est sur les dents et lance ses limiers sur la toile. Une intrusion qui était pourtant prévisible. Fin juillet, des tests, par les pirates, sont lancés via deux serveurs : Jb1tch.alboz-elite.net et irc.askevi.net.

Lundi 23 août 2005, le FBI implique les polices marocaines et turcs dans l'enquête. Les auteurs de cette infection se situent de l'autre côté de l'Altantique. Mardi 24 août, les premiers suspects sont tracés... de maniére trés simple, et pour cause. L'un des sites ayant permis de diffuser le code n'est rien d'autre que atillaekici.net, le nom de l'un des auteurs présumé de Zotob (1).

Mardi 24 août. Les adresses électroniques des premiers pirates sont toutes tracées. Farid Essebar, alias Diablo est ciblé au Maroc (2). Le second pirate, Attila, ne sera pas plus compliqué à suivre. Sur la dizaine de noms de domaines employés par les trashers, trois portent le nom de famille réel de l'un d'eux : atillaekici.net, atillaekici.com, ekiciailesi.com.

Le site Turkcoders

Attila est le membre fondateurs de plusieurs communautés, dont Turk Coders (turkcoders.net - hébergé chez Google, ndlr) ou encore Aydan Kaya (aydankaya.org). On retrouvera encore sa trace sur les sites ekiciailesi.com, Askevi.net, turkintikamtugayi.com. C'est ici que l'on découvre que Daemon n'est pas seul. Au moins une quinzaine d'autres Turcs et, au moins, dix autres internautes sont impliqués dans ce "délire" d'adolescents.

Microsoft a contacté, dans un premier temps l'ensemble des entreprises plus ou moins proche de l'action des pirates (3). Parmi les entreprises, EURODNS, registar luxembourgeois chez qui un grand nombre de noms de domaines déposés par le pirate étaient enregistrés. Grace à l'action d'EURODNS, le virus ZOTOB a été quasiment bloqué de l'Internet. Pour eradiquer l'attaque, EURODNS a désactiver les domaines les plus actifs, atillaekici.net et son sous domaine real.atillaekici.net. Un site créé en mai 2003 qui n'avait pas été prévu pour devenir l'ennemi public numéro un du web. Attila avait enregistré ce domaine sous le nom de Polat Alemdar, via le mel [email protected] Les autres url cités dans cet article ont été enregistrés par Attila, sous le mel [email protected]

Voici, en exclusivité, les statistiques, sur 24h, des requêtes DNS de ce nom de domaine. Ce sous-domaine faisait partie du top 10 des domaines les plus interroger sur EuroDNS. C'est ainsi que EuroDNS a pu détecter l'utilisation malveillante de ce domaine et a décider de couper les zones concernées. Voici les autres sous domaines (exclu ZATAZ) employés par le pirate et ses amis :

akrep.aydankaya.org
avt.aydankaya.org
listen.aydankaya.org
crazy.aydankaya.org
dark.aydankaya.org
lords.aydankaya.org
sezen.aydankaya.org
www.aydankaya.org
web.aydankaya.org

Voici le nombre de queries (requetes), sur le site du pirate, durant le mois d'août
et le jour de l'attaque.

diabl0.turkcoders.net
ayca.turkcoders.net
www.turkcoders.net
wisdom.turkcoders.net
local.turkcoders.net
ice.turkcoders.net
moon.turkcoders.net

coder.askevi.net
firecoder.askevi.net
irc.askevi.net
smile.askevi.net
root.askevi.net

ns.ekiciailesi.com
web.ekiciailesi.com

real.atillaekici.net
then.atillaekici.net
hun.atillaekici.net
kernel.atillaekici.net
wait.atillaekici.net
ataturk.atillaekici.net
buyeni.atillaekici.net

windows.turkintikamtugayi.com
ds.turkintikamtugayi.com
name.turkintikamtugayi.com

De son côté Microsoft a fait appel à plusieurs entités privées pour traquer et eradiquer le microbe. Parmi les sociétés, la team Cymru. Mission aider les ISP à protéger les clients. Microsoft a d'ailleurs écrit au registar afin de tracer l'ensemble des amis de Daemon et Coder. Le mel de Microsoft précise ceci : "(...) 1) Lock the RR and point it to something unrouted (such as 127.0.0.1) and set the TTL to the max possible value (...) 2) Keep any logs you have of the accounts (connection info, modification history, etc.) for the law enforcement agencies (...) 3) If possible collect IPs of the infected machines trying to connect. We work with a private company that works with the ISPs to get the victims disinfected. (...)"

En moins d'un mois l'affaire a été bouclée. preuve qu'aujourd'hui, l'anonymat sur la toile est de plus en plus aléatoire. Esperons que ce triste exemple face comprendre à certains internautes que l'Internet n'est pas un jouet ou il est bon de faire n'importe quoi.

# Liens connexes

Daemon, le jour de son arrestation

Les AntiVirus proposés par ZATAZ

Derniers contenus

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Vos réactions ( 0 )

Réagissez à ce contenu

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

Application iPhone et iPad ZATAZ, gratuite et sans publicité.

L´ANSSI recrute de manière originale

Labs ZATAZ

CVE-2011-3230 Apple Safari file:// Arbitrary Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Aaron Sigel Publication coordonnée de la vulnérabilité le 12-10-2011 PoC Metasploit fournit le 16-10-2011 PoC fournit par : Aaron Sigel sinn3r Référence(s) : CVE-2011-3230 HT5000 Version(s) affectée(s) : Safari 5.1 pour Mac OS X v10.6.8 Sa [...]

Modules Metasploit Auxiliaires MySQL

Metasploit fournit des modules auxiliaires pour la base de données MySQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes S [...]

Modules Metasploit Auxiliaires PostgreSQL

Metasploit fournit des modules auxiliaires pour la base de données PostgreSQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et li [...]

CVE-2011-0807 : Sun/Oracle GlassFish Server Authenticated Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Jason Bowes et soumise à ZDI Notification initiale de ZDI vers le fournisseur le 23-09-20102 Publication coordonnée de la vulnérabilité le 19-04-2011 PoC Metasploit fournit le 04-08-2011 PoC fournit par : juan vazque [...]

Syndication RSS

ZATAZ mobile et PDA

PDA
Imode

A PROPOS CONTACT Graphisme par Exclusive Network
www.antivirus-enligne.com www.antispyware-gratuits.com www.firewall-gratuit.com
www.outilsgratuits.com www.antispam-gratuits.com www.antiphishing-gratuit.com www.virus-alerte.com

Tout usage des informations diffusées par ZATAZ.COM est soumi à autorisation préalable et express. La violation de ces dispositions impératives soumet le contrevenant,
et toutes personnes responsables, aux peines pénales et civiles prévues par la loi française.

Copyright ZATAZ 1997 - 2012