Comportement des spammeurs devenant de plus en plus agressifs
Date : 22 Juin 2005
Le SPAM est depuis longtemps une nuisance qui pollue l'Internet et qui perturbe les utilisateurs en envoyant des millions d'e-mails non désirés chaque jour.
Depuis cet été, un nouveau pas a été franchi par les spammeurs. En effet, ils ne se contentent plus désormais d'envoyer leurs e-mails en se dissimulant derrière des machines mal configurées trouvées sur Internet (des "relais ouverts" - voir à ce sujet l'article du Bulletin Sécurité n°68 du Cert-IST), mais ils attaquent maintenant des machines "anodines" vulnérables (PC familiaux, ...) pour y installer des relais.
Depuis cet été en effet, il a été constaté que de nombreuses machines Microsoft Windows mal protégées (typiquement des machines personnelles connectées à Internet via des liaisons ADSL ou câbles) ont été compromises à travers des e-mails malicieux ou des navigations web sur des sites web malveillants. Les outils, qui y ont été installés (relais HTTP, "socks", ...), ont ensuite été utilisés pour envoyer des e-mails de SPAM en grande quantité. Le Cert-IST a observé ce phénomène chez le fournisseur d'accès français NOOS, lors de l'investigation d'un incident (qui a été relaté par ailleurs dans la presse). Dans ce cas, l'outil installé par les spammeurs était "Autoproxy", et cet outil était contrôlé par des machines "masters" distantes. Des phénomènes similaires ont aussi été observés par d'autres CERT dans le monde. En particulier des machines infectées par le ver "Muly" (avis CERT-IST/AV-2003.355) ont été utilisées pour réaliser des campagnes massives d'envoi de SPAM.
Des organisations réputées dans la lutte anti-spam (voir la rubrique "pour plus d'information") expliquent également qu'elles ont fait l'objet depuis cet été d'attaques de types "DoS" (Déni de Service), dans lesquelles des milliers de machines tentaient de rendre leurs sites inatteignables en les saturant de requêtes de consultation ("flooding HTTP"). Dans les cas les plus récents, les attaques provenaient de machines qui avaient été infectées par les vers "Mimail.E" et "Mimail.H" (avis CERT-IST/AV-2003.249).
Les spammeurs sont donc passés d'une attitude "passive" (utilisation des machines mal configurées trouvées sur Internet) à un comportement clairement illégal et agressif (intrusion sur des systèmes vulnérables et installation d'outils pirates). Aller jusqu'à développer (ou "faire développer") pour ce faire des vers ou virus, montre également que ces acteurs n'ont aucune limite et sont prêts à tout pour réaliser leurs actions malveillantes.
Pour plus d'information :
- Article de BBC sur l'utilisation de virus par les spammeurs : http://news.bbc.co.uk/2/hi/technology/2987558.stm
- Attaques DDOS et virus ayant agressé SpamHaus : http://www.spamhaus.org/cyberattack/
- Article de Libération sur l'incident NOOS : http://www.liberation.fr/page.php?Article=152071
- Description de l'outil "Autoproxy" : http://www.lurhq.com/autoproxy