Glupteba, AWM Proxy, RSOCKS : liaisons dangereuses
![Image Une vulnérabilité identifiée dans la [billetterie du PSG]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-breach-faille-2024-885x690.jpg)
![Image Un forum russophone sur Kaspersky victime d’un [vol de données]](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurite-cybersecurity-ransomware-ranconlogiciel-885x690.jpg)
Un enquête montre les liens existant entre le botnet Glupteba et les serveurs de proxy malveillants AWM Proxy et RSOCKS.
Glupteba, AWM Proxy, RSOCKS : ces trois groupes cybercriminels seraient-ils intimement liés ? C’est du moins ce que suggère une récente enquête de Brian Krebs.
Le 7 décembre 2021, Google a déposé une plainte contre les deux Russes soupçonnés d’avoir exploité le botnet Glupteba, qui avait infecté des millions d’ordinateurs dans le monde en dix ans.
Le même jour, le service criminel d’anonymisation AWM Proxy (actif depuis 2007) se mettait hors-ligne, en annonçant une migration vers d’autres serveurs, laissant supposer des liens entre les deux entités. Glupteba et AWM Proxy étaient d’ailleurs principalement distribués par des réseaux de « pay-per-install » (PPI), et par le biais de trafic acheté auprès de TDS.
Après une méticuleuse enquête, Brian Krebs montre que le fondateur d’AWM Proxy avait utilisé, en 2005, l’adresse mail ayant servi à créer des noms de domaine administrés par un certain Dmitry Sergeevich Starovikov. C’est le nom d’un des deux opérateurs de Glupteba selon l’enquête de Google.
Début juin 2022, les États-Unis, l’Allemagne, les Pays-Bas et le Royaume-Uni ont par ailleurs démantelé le botnet RSOCKS, un autre service proxy criminel, en activité depuis 2014.
Or, d’après Riley Kilmer, cofondateur de Spur.us, une startup qui traque les services proxy criminels, RSOCKS aurait été lui aussi désactivé le 7 décembre 2021, en même temps qu’AWM Proxy.
« On ne sait pas si cela signifie que les services étaient exploités par les mêmes personnes, ou s’ils utilisaient simplement les mêmes sources (c’est-à-dire des programmes PPI) pour générer de nouvelles installations de leurs logiciels malveillants », expose Riley Kilmer.
Restent que RSOCKS et AWM Proxy proposaient les mêmes adresses IP à la vente, et partageaient des API très proches. De toute évidence, les trois botnets (Glupteba, AWM Proxy, RSOCKS) travaillaient en très bonne intelligence.
Brian Krebs y voit la preuve que le monde de la cybercriminalité est vraiment petit, et qu’un ciblage des principaux hackers pourrait suffire à mettre à genoux un écosystème tout entier.