Ceux qui avaient beaucoup d’amis (1/3)
Au programme de cet épisode: les failles de la coopération judiciaire internationale, un redoutable malware bancaire, des cybercriminels insaisissables et des photos de pyjama léopard.
Bonsoir,
Bienvenue pour ce nouvel épisode de Pwned. Ce soir, on va parler des failles de la coopération judiciaire internationale, d'un redoutable malware bancaire, de cybercriminels insaisissables et de photos de pyjama léopard.
Une histoire qui va nous amener à quelques milliers de kilomètres vers l’Est. Mais tout d’abord, si vous n’êtes pas inscrit, voici le formulaire pour recevoir directement les prochains épisodes de Pwned.
On va tout d’abord commencer par un petit flash-back dans les épisodes de Pwned. Souvenez-vous, cet été, je vous avais parlé de SpyEye, ce malware bancaire qui avait sévi à la fin des années 2000. On avait appris que ce cheval de Troie (trojan en anglais) s’inspirait fortement d'un autre logiciel malveillant, le terrible ZeuS.
C’est de ce malware et de ses variantes dont on va parler ce soir, et surtout de la traque de ses créateurs. Mais n’allons pas trop vite et revenons au milieu des années 2000. En 2005, selon toute vraisemblance, un informaticien, surnommé Slavik, programme un nouveau keylogger.
Ces discrets logiciels d’enregistrement de frappe de clavier permettent à des gens mal intentionnés de récupérer des informations sensibles, comme le code d’accès à votre banque. Ce malware va rapidement s’enrichir en nouvelles fonctionnalités, jusqu’à devenir l’un des cauchemars informatiques de sa génération. Il s'appellera ZeuS.
Ses premières traces ont été détectées lors d’intrusions au sein du système informatique d’un ministère américain, en 2007, et de plusieurs entreprises américaines de premier plan, de Booz Allen à Hughes Communications.
Si vous avez jeté un oeil à l’article en lien, vous avez vu qu’il ne mentionne pas ZeuS nommément mais juste l’exécutable, ntos.exe. En fait, une fois lancé, cet exécutable lance le téléchargement de deux fichiers, dont zeus.exe, d’où le nom qui est resté dans postérité.
Outre la diffusion par hameçonnage, ce malware a des fonctionnalités de propagation assez astucieuses. En fait, le logiciel malveillant, l’un des premiers à être mis en vente sous licence sur les marchés noirs du web, est un véritable couteau suisse.
Il sait s’installer sur une machine ciblée, se soustraire aux anti-virus, voler les mots de passe enregistrés, intercepter les données saisies dans des formulaires, détecter l’utilisation de claviers virtuels avec les clics de la souris et déclencher alors des captures d’écrans - vous vous rappelez comment vous vous authentifiez sur le site de votre banque? -, communiquer avec d’autres machines infectées, etc.
Pas besoin de faire un dessin. ZeuS va faire énormément de dégâts. Par exemple, en juin 2009, une entreprise signale plus de 74000 comptes FTP compromis dans des grandes entreprises. Un autre papier mentionne ici l’infection de 100000 ordinateurs cassés par l’activation du kill switch de ZeuS. L’entreprise de services numériques Unisys calcule en mai 2010 que 3,6 millions d’ordinateurs ont été infectés aux Etats-Unis.
Les inventeurs de ZeuS sont ingénieux. Mais ils font encore pire que de mettre sur pied leur dangereux malware! Ils invitent ensuite tous les malfrats du web à customiser leur bébé en diffusant son code source en 2011. A posteriori, on comprend qu’il s’agit certainement d’une ruse pour faire croire au départ en retraite des développeurs de ZeuS.
Quoiqu’il en soit, cela va donner naissance à toute une lignée, avec des centaines de variantes de ZeuS. C’est particulièrement inquiétant. C’est comme donner un mode d’emploi pour fabriquer une arme, rendant ainsi accessible un outil à des gens qui n’avaient pas les compétences pour le mettre sur pied.
Plus que le nombre d’ordinateurs infectés, d’autres chiffres sont sans doute plus pertinents. ZeuS est un malware bancaire. Ses résultats s’expriment donc en dollars volés. Eh bien, en octobre 2010, le FBI accuse un gang d’avoir volé avec ZeuS pas moins de 70 millions de dollars à des particuliers ou des entreprises, et tenté d’en voler 150 autres millions.
Alors, on ne peut rien faire contre le gang ZeuS? Et bien si, justement. Preuve que personne n’est intouchable, une riposte judiciaire est en marche. En ce début d’automne 2010, cinq personnes sont arrêtées, en Ukraine, 20 en Grande-Bretagne et 39 aux Etats-Unis, sans compter 17 mandats d’arrêt, que vous pouvez retrouver ici.
Et si ce coup de filet avait permis de mettre la main sur les développeurs de ZeuS? Vu le nombre de personnes arrêtées, ce serait vraiment pas de chance de ne pas avoir au moins un codeur sous les verrous. Mais pas si vite: on en reparle la semaine prochaine,
Bonne soirée,
Relecture: Mnyo
PS: L’histoire vous a plu? Pour me payer un café c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources:
Celui qui s’intéressait trop au transhumanisme (1/3)
Évolution des logiciels malveillants : juin - septembre 2007
Hackers steal government, corporate data
ZBot data dump discovered with over 74,000 FTP credentials
Botnet master hits the kill switch, takes down 100,000 PCs
Zeus Malware: Threat Banking Industry
Complete ZeuS sourcecode has been leaked to the masses
International Cooperation Disrupts Multi-Country Cyber Theft Ring