1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Rencontrez Ika & Sal: Le Duo d'hébergement Pare-Balles de l'Enfer

Rencontrez Ika & Sal: Le Duo d'hébergement Pare-Balles de l'Enfer

En 2020, les États-Unis ont engagé des poursuites contre quatre hommes accusés d'avoir bâti un empire d'hébergement à l'épreuve des balles qui dominait autrefois l'industrie russe de la cybercriminalité et soutenait de multiples groupes de cybercriminalité organisés. Tous les quatre ont plaidé coupables à des accusations de complot et de racket. Mais il y a une histoire fascinante et inédite derrière les deux hommes russes impliqués, qui ont co-dirigé le plus grand forum de spam au monde et travaillé en étroite collaboration avec les cybercriminels les plus dangereux de Russie.

De janvier 2005 à avril 2013, il y avait deux administrateurs principaux du forum sur la cybercriminalité Point Spam (alias Spamit), une communauté sur invitation uniquement pour les personnes russophones dans le domaine de l'envoi de spam et de la création de réseaux de zombies d'ordinateurs infectés pour relayer ledit spam. Les administrateurs de Spamdot sont passés par les surnoms Icamides (alias. Ika), et Salomon (alias. Sal).

L'administrateur du forum Spamdot " Ika "alias" Icamis "répond à un message de "Tarelka", le botmaster derrière le botnet Rustock. Dmsell a déclaré: "Je suis en fait très heureux d'être passé au courrier indésirable légal", incitant Tarelka et Ika à se moquer.

Comme détaillé dans mon livre de 2014, Nation du Spam, Spamdot abritait des escrocs contrôlant certains des botnets les plus méchants du monde, des contagions mondiales de logiciels malveillants qui portaient des noms exotiques comme Rustoc, Limande à Queue Coupée, Méga-D, Fête, Walédac, et Gruau.

Icamis et Sal étaient en communication quotidienne avec ces botmasters, via le forum Spamdot et des messages privés. Contrôlant collectivement des millions de zombies cracheurs de spam, ces botmasters ont également collecté en permanence des mots de passe et d'autres données à partir de machines infectées.

Comme nous le verrons dans un instant, Salomon est maintenant derrière les barreaux, en partie parce que il a aidé à voler des dizaines de petites entreprises aux États-Unis en utilisant certains de ces mêmes mots de passe récoltés. Il est actuellement détenu dans une prison fédérale du Michigan, purgeant la dernière partie d'une peine de 60 mois.

Mais l'identité et le sort d'Icamis sont restés un mystère pour cet auteur jusqu'à récemment. Pendant des années, les experts en sécurité — et en fait, de nombreux cybercriminels de premier plan du programme d'affiliation Spamit — ont exprimé la conviction que Sal et Icamis étaient probablement la même personne utilisant deux identités différentes. Et il y avait de nombreuses bonnes raisons d'appuyer cette conclusion.

Par exemple, en 2010, Spamdot et son programme d'affiliation de spam Spamit ont été piratés, et sa base de données d'utilisateurs montre que Sal et Icamis accédaient souvent au forum à partir de la même adresse Internet — généralement à partir de Tcherepovets, une ville industrielle située à environ 230 miles au nord de Moscou. De plus, il était courant que l'Icamis réponde lorsque les membres de Spamdot communiquaient une demande ou une plainte à Sal, et vice versa.

Image: maps.google.com

Pourtant, d'autres indices suggéraient qu'Icamis et Sal étaient deux individus distincts. Pour commencer, ils changeaient fréquemment le statut de leurs clients de messagerie instantanée à des moments différents. De plus, ils ont chacun discuté en privé avec d'autres ayant fréquenté différentes universités.

KrebsOnSecurity a commencé à rechercher l'identité réelle d'Icamis en 2012, mais n'a revisité aucune de ces recherches jusqu'à récemment. En décembre 2023, KrebsOnSecurity publié de nouveaux détails sur l'identité de " Rescator”, un cybercriminel russe qui serait étroitement lié à la violation de données de 2013 chez Target.

Cette histoire mentionnait que l'identité réelle de Rescator avait été révélée par Icamis en avril 2013, dans le cadre d'une longue lettre d'adieu écrite par Ika aux membres de Spamdot dans laquelle Ika disait qu'il fermait le forum et quittait complètement le secteur de la cybercriminalité.

À la surprise de personne, Icamis n'a pas quitté l'entreprise: il est juste devenu beaucoup plus calme et circonspect quant à son travail, qui était de plus en plus axé sur l'aide aux groupes criminels à siphonner des fonds sur des comptes bancaires américains. Mais l'histoire de Rescator était un rappel que 10 ans de recherche sur qui est Ika/ Icamis dans la vraie vie avaient été complètement mis de côté. Cet article est une tentative de remédier à cette omission.

Le message d'adieu d'Ika (alias Icamis), l'administrateur du forum BlackSEO et de Pustota, le forum successeur de Spamit/Spamdot.

MESSIEURS LES ESCROCS

Icamis et Sal offraient un ensemble complet de biens et de services dont tout spammeur en herbe ou accompli aurait besoin au quotidien: des services d'enregistrement et d'hébergement de domaine à l'épreuve des balles pratiquement illimités, ainsi que des services qui aidaient les botmasters à échapper aux listes de blocage de spam générées par des groupes anti-spam comme Spamhaus.org. Voici un extrait de l'annonce d'Icamis sur Spamdot d'août. 2008, où il s'adresse aux membres du forum avec la salutation “ " Bonjour Messieurs les escrocs.”

Nous sommes heureux de vous présenter nos services!
Beaucoup sont déjà au courant (et sont nos clients), mais la publicité n'est jamais superflue.

>>Plus