Celui qui s’intéressait trop au transhumanisme (1/3)
Comment le malware bancaire Spyeye a supplanté Zeus, l'ancien leader du marché.
Bonjour,
Bienvenue dans ce nouvel épisode de Pwned. Ce soir, nous allons nous plonger dans l’affaire SpyEye, un malware bancaire ayant sévi à la fin des années 2000 et qui a donné lieu à une enquête particulièrement rocambolesque.
Mais avant toute chose, pour ceux qui ne sont pas inscrits, voici le formulaire pour recevoir directement ce message dans votre boîte mail.
Au passage, cet épisode décliné en trois volets sera le dernier de la saison. Avec Mnyo, on vous donne rendez-vous en septembre pour une deuxième saison de Pwned. N’hésitez pas à m’envoyer par mail ou à m’indiquer dans les commentaires vos suggestions pour la prochaine saison (dossiers à chroniquer ou évolutions de la newsletter).
Mais revenons à l’affaire qui va nous occuper ce soir. Quand on se plonge dans des affaires un peu anciennes, c’est toujours surprenant de voir à quel point la cybercriminalité évolue vite. Il y a un peu plus de dix ans, ce n’était pas les attaques par rançongiciel qui faisaient la une de la presse.
On s’inquiétait alors du succès des malwares bancaires. Ces virus sont des chevaux de Troie, ou Trojan en anglais. Ils servent à voler une fois installés sur votre poste des informations bancaires. Les pirates peuvent alors piller votre compte. Sous réserve évidemment de ne pas attirer l’attention de votre banque.
La star de ces logiciels, c’est Zeus. On l’a repéré pour la première fois en 2007 et il a depuis essaimé en plus de 570 versions. Ce logiciel est un véritable couteau-suisse de la cybercriminalité. Le malware est programmé pour enregistrer et transmettre la saisie des mots de passe utilisés pour se connecter à sa banque.
Mais le logiciel malveillant fait bien plus. C’est à la fois un keylogger - un enregistreur de frappe du clavier - , un voleur de données et un botnet, qui transforme les machines infectées en ordinateurs zombies, utilisées pour propager le virus sous forme de pièces jointes malveillantes.
C’est le russe Evgeniy Bogachev (en photo en dessous ce paragraphe), alias Slavik, l’un de ses nombreux pseudos, qui est derrière ce logiciel malveillant. Au dernier décompte, il a réussi à amasser au moins 70 millions de dollars avec Zeus. Mais on y reviendra sans doute un jour en détail dans un épisode de Pwned.
Cependant, ce qui nous intéresse ce soir, c’est le prix de Zeus. Il coûte à la fin des années 2000 environ 3000 à 4000 dollars, mais c’est pour la version de base, sans les bonus. C’est peu par rapport aux gains que l’on vient de mentionner, mais c’est quand même pas mal d’argent.
Et que croyez-vous qu’il arriva? L’irruption d’un concurrent, bien sûr. Ce logiciel criminel concurrent de Zeus s’appelle SpyEye. Il est proposé sur le forum de cybercriminels Darkode par deux utilisateurs : Gribodemon et Harderman.
On commence à en entendre parler en 2009, donc deux ans après Zeus. Et pour s’installer sur le marché, le nouveau venu casse les prix. SpyEye est vendu seulement 500 dollars. Comme le remarque la société d’antivirus Symantec dans cet article, SpyEye n’est pas particulièrement innovant.
C’est comme Zeus un cheval de troie, qui enregistre la frappe sur le clavier, capture des informations de cartes bancaires ou cherche les informations bancaires saisies dans des formulaires des navigateurs internet. Une dernière fonctionnalité est particulièrement intéressante: SpyEye sait détecter la présence de Zeus et l’évincer…
“Si l'utilisation de SpyEye décolle, cela pourrait ébranler le botnet Zeus et entraîner des représailles”, analyse alors Symantec. Cela pourrait conduire à une autre guerre des bots comme nous l'avons vu dans le passé avec Beagle, Netsky et Mydoom.”
Et effectivement, dans un premier temps, les développeurs de Zeus ripostent. Eux aussi mettent à jour leur logiciel pour détecter SpyEye et le supprimer.
Alors, la guerre des malwares bancaires a-t-elle été déclarée? Eh bien pas vraiment. Enfin c'est ce que pense un des auteurs de SpyEye. Dans une interview accordée à un chercheur en sécurité, il explique très succinctement que le gâteau est suffisamment large pour contenter tout le monde.
Ça vous étonne, cette absence d’animosité de la part de criminels sans scrupules? Effectivement il y a anguille sous roche. Comme le créateur de SpyEye l’explique bien plus tard aux enquêteurs, les deux logiciels ne sont pas concurrents.
SpyEye est plutôt un héritier de Zeus. Non pas qu’ils soient le fruit du même programmeur. Mais parce qu'Evgeniy Bogachev, le codeur de Zeus, aurait vendu les secrets de son cheval de Troie aux créateurs de SpyEye, qui reprendront à leur compte certaines de ses fonctionnalités.
A l’époque, l’info divise. Elle ne surprend pas certains experts mais en étonne d’autres. Est-ce que Slavik, le créateur de Zeus, a voulu prendre sa retraite? Est-ce qu’il a voulu prendre un peu de large et attirer l’attention des polices du monde entier sur un tiers? Ou est-ce que la vente de Zeus est une arnaque?
Car ensuite, le code source de Zeus va fuiter et être décliné dans des centaines de versions. Il y aura même une nouvelle génération de Zeus, bien plus dangereuse, Gameover Zeus, qui va apparaître l’année suivante. Les patrons de SpyEye ont-ils donc acheté une licence bidon?
Quoiqu’il en soit, la réaction des patrons de SpyEye est un classique des affaires. Après avoir acheté ou cru acheté leur concurrent, ils augmentent leurs prix. Quand le FBI achète sa propre copie de SpyEye pour les besoins de l’enquête, cela lui coûte 8500 dollars. Les prix d’achat ont donc bondi.
Et il y a des acheteurs. Au moins 10 000 comptes bancaires ont été compromis en 2013. Soit 1,4 millions d’ordinateurs infectés aux Etats-Unis. On apprend également que l’un des 150 clients des cybercriminels a par exemple amassé 3,2 millions de dollars en six mois. Comme le calcule alors TrendMicro c’est 17000 dollars par jour.
Au total, on dénombre 50 millions d’ordinateurs infectés. Ce qui poser une colle à la justice américaine. Comment estimer de manière exacte le préjudice causé par les auteurs du malware? A part mentionner un milliard de dollars de dégâts, le communiqué de la justice américaine diffusé en janvier 2014 reste assez vague sur ce sujet. Ce sera l’un des enjeux du procès plus tard, mais on en parlera dans les prochains volets de cet épisode.
La suite la semaine prochaine,
Bonne soirée,
Gabriel
Relecture: Mnyo
PS: L’histoire vous a plu? Pour me payer une bière - par exemple une Maximator, la bière des espions - c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources:
Why Zbot is the most notorious malware
Cyber Banking Fraud Global Partnerships Lead to Major Arrests
Nine Charged in Conspiracy to Steal Millions of Dollars Using “Zeus” Malware
Malware Intelligence: SpyEye Bot (Part two) Conversations with the creator of crimeware
SpyEye v. ZeuS Rivalry Ends in Quiet Merger
Cyber Criminal Pleads Guilty to Developing and Distributing Notorious SpyEye Malware