Reportage

 

La traque de Zotob comme si vous y étiez

Publié le 30-08-2005 dans le thème Virus - Antivirus

Pays : International - Auteur : Damien Bancal


Pub : Tous les antivirus en ligne pour désinfecter votre ordinateur

Note des lecteurs: 1.4/5

Comment Microsoft, le FBi et les polices marocaines et turques ont remonté la trace des pirates ? Voici des documents exclusifs qui vont vous permettre de comprendre cette traque, comme si vous y étiez.
Par Damien Bancal

9 août 2005. Microsoft patch une faille découverte dans l'un de ces codes. Quelques heures plus tard, les 1er exploits exploitant cette vulnérabilité sont diffusés sur Internet. Le 14 août, un code malicieux va en découler. Baptisé Zotob, il vise les machines sous Windows 2000. Plusieurs inportantes sociétés américaines vont être touchées par cette attaque. Les éditeurs d'antivirus sont sollicitées quelques heures aprés l'attaque du mois d'août. Le FBI est sur les dents et lance ses limiers sur la toile. Une intrusion qui était pourtant prévisible. Fin juillet, des tests, par les pirates, sont lancés via deux serveurs : Jb1tch.alboz-elite.net et irc.askevi.net.

Lundi 23 août 2005, le FBI implique les polices marocaines et turcs dans l'enquête. Les auteurs de cette infection se situent de l'autre côté de l'Altantique. Mardi 24 août, les premiers suspects sont tracés... de maniére trés simple, et pour cause. L'un des sites ayant permis de diffuser le code n'est rien d'autre que atillaekici.net, le nom de l'un des auteurs présumé de Zotob (1).

Mardi 24 août. Les adresses électroniques des premiers pirates sont toutes tracées. Farid Essebar, alias Diablo est ciblé au Maroc (2). Le second pirate, Attila, ne sera pas plus compliqué à suivre. Sur la dizaine de noms de domaines employés par les trashers, trois portent le nom de famille réel de l'un d'eux : atillaekici.net, atillaekici.com, ekiciailesi.com.


Le site Turkcoders

Attila est le membre fondateurs de plusieurs communautés, dont Turk Coders (turkcoders.net - hébergé chez Google, ndlr) ou encore Aydan Kaya (aydankaya.org). On retrouvera encore sa trace sur les sites ekiciailesi.com, Askevi.net, turkintikamtugayi.com. C'est ici que l'on découvre que Daemon n'est pas seul. Au moins une quinzaine d'autres Turcs et, au moins, dix autres internautes sont impliqués dans ce "délire" d'adolescents.

Microsoft a contacté, dans un premier temps l'ensemble des entreprises plus ou moins proche de l'action des pirates (3). Parmi les entreprises, EURODNS, registar luxembourgeois chez qui un grand nombre de noms de domaines déposés par le pirate étaient enregistrés. Grace à l'action d'EURODNS, le virus ZOTOB a été quasiment bloqué de l'Internet. Pour eradiquer l'attaque, EURODNS a désactiver les domaines les plus actifs, atillaekici.net et son sous domaine real.atillaekici.net. Un site créé en mai 2003 qui n'avait pas été prévu pour devenir l'ennemi public numéro un du web. Attila avait enregistré ce domaine sous le nom de Polat Alemdar, via le mel [email protected] Les autres url cités dans cet article ont été enregistrés par Attila, sous le mel [email protected]

Voici, en exclusivité, les statistiques, sur 24h, des requêtes DNS de ce nom de domaine. Ce sous-domaine faisait partie du top 10 des domaines les plus interroger sur EuroDNS. C'est ainsi que EuroDNS a pu détecter l'utilisation malveillante de ce domaine et a décider de couper les zones concernées. Voici les autres sous domaines (exclu ZATAZ) employés par le pirate et ses amis :

akrep.aydankaya.org
avt.aydankaya.org
listen.aydankaya.org
crazy.aydankaya.org
dark.aydankaya.org
lords.aydankaya.org
sezen.aydankaya.org
www.aydankaya.org
web.aydankaya.org



Voici le nombre de queries (requetes), sur le site du pirate, durant le mois d'août
et le jour de l'attaque.



diabl0.turkcoders.net
ayca.turkcoders.net
www.turkcoders.net
wisdom.turkcoders.net
local.turkcoders.net
ice.turkcoders.net
moon.turkcoders.net

coder.askevi.net
firecoder.askevi.net
irc.askevi.net
smile.askevi.net
root.askevi.net

ns.ekiciailesi.com
web.ekiciailesi.com

real.atillaekici.net
then.atillaekici.net
hun.atillaekici.net
kernel.atillaekici.net
wait.atillaekici.net
ataturk.atillaekici.net
buyeni.atillaekici.net

windows.turkintikamtugayi.com
ds.turkintikamtugayi.com
name.turkintikamtugayi.com

De son côté Microsoft a fait appel à plusieurs entités privées pour traquer et eradiquer le microbe. Parmi les sociétés, la team Cymru. Mission aider les ISP à protéger les clients. Microsoft a d'ailleurs écrit au registar afin de tracer l'ensemble des amis de Daemon et Coder. Le mel de Microsoft précise ceci : "(...) 1) Lock the RR and point it to something unrouted (such as 127.0.0.1) and set the TTL to the max possible value (...) 2) Keep any logs you have of the accounts (connection info, modification history, etc.) for the law enforcement agencies (...) 3) If possible collect IPs of the infected machines trying to connect. We work with a private company that works with the ISPs to get the victims disinfected. (...)"



En moins d'un mois l'affaire a été bouclée. preuve qu'aujourd'hui, l'anonymat sur la toile est de plus en plus aléatoire. Esperons que ce triste exemple face comprendre à certains internautes que l'Internet n'est pas un jouet ou il est bon de faire n'importe quoi.


 

# Liens connexes

Daemon, le jour de son arrestation

Les AntiVirus proposés par ZATAZ

 

Conseiller cet article Réagir RSS ZATAZ Partager cet article sur Wikio Partager cet article sur Scoopeo Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur Fuzz Partager cet article sur del.icio.us Envoyer cet article sur Blogmarks

Derniers contenus

L'espace d'authentification de Numéricâble dangereux

23-05-2013 à 14:53 - 0 commentaire(s)

Client de Numéricâble, prudence. L'espace d'authentification peut être piégé par un pirate informatique.

Fuite de données : la justice accuse les admins

23-05-2013 à 14:26 - 0 commentaire(s)

Si un administrateur d'un système informatique ne protège pas ses données, le "découvreur" ne risque plus d'être poursuivi pour piratage.

Skimmeur dans le Tarn

23-05-2013 à 12:30 - 0 commentaire(s)

Plusieurs dizaines de comptes bancaires piratés dans le Tarn. Un skimmeur a encore frappé.

Double authentification Twitter... ou pas

23-05-2013 à 09:39 - 0 commentaire(s)

Twitter annonce une sécurité renforcée via une double authentification. Et les autres failles ?

Danger via MySpace et DailyMotion

21-05-2013 à 09:47 - 0 commentaire(s)

Potentialités malveillantes à partir des sites communautaires MySpace et DailyMotion.

Un espace web Nestlé dangereux

21-05-2013 à 09:37 - 0 commentaire(s)

Un espace Nestlé, dédié aux bébés, propose des potentialités malveillantes aux pirates

Le site de George W. Bush dangereux

21-05-2013 à 08:28 - 0 commentaire(s)

Une faille sur le site Internet de l'ancien président américain, George W. Bush, permet de piéger les internautes.

Cyber attaque à coups de PDF malveillants

21-05-2013 à 08:19 - 0 commentaire(s)

Une cyber-attaque principalement orientée vers le Pakistan à travers de faux documents PDF attachés.

Sur le même thème : Virus - Antivirus

Cyber attaque à coups de PDF malveillants

Une cyber-attaque principalement orientée vers le Pakistan à travers de faux documents PDF attachés.

Fausse pub, fausse mise à jour Flash

Depuis quelques jours, une fausse mise à jour flash apparait dans de nombreux sites Internet. Explication !

Code malveillant dans le site Ministère du Travail U.S.

Le Ministère du Travail américain infiltré. Des traces de hackers Chinois retrouvés. Analyse !

Serveur Apache attaqués par un nouveau virus

Découverte d'une faille dans les serveurs Apache exploitée par un virus informatique de type worm.

XSS Worm : fonctionnement d'une arme numérique

XSS W0rm, quand le cross-site Scripting devient une arme incontrôlable.

Un pirate utilise l'attentat de Boston

Un pirate informatique profite de l'attentat de Boston pour espérer piéger des internautes.

Pot2Miel : le chasseur de malwares

Le site collaboratif Pot2Miel propose de chasser les malwares pour mieux protéger l'Internet des malveillants.

vSkimmer, le vilain venu de Russie

Depuis quelques semaines, un nouveau cheval de Troie, vSkimmer, attire les regards des chasseurs de pirates. Un dangereux vilain ?

Vos réactions ( 0 )

Réagissez à ce contenu

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

 




Hacknowledge Contest Europa-Africa La Nuit du Hack Hacking In Progress La reference des emissions TV dediees a la cybersecurite Data Security Breach - Securite pour entreprise, pme, pmi Hack Contest Abidjan


Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA