Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
     
Les Analyses les plus Populaires



IoT : comment j'ai piraté ma maison



Baromètre de Kaspersky sur la cybercriminalité. Courrier indésirable en 2008



Courrier indésirable et phishing au deuxième trimestre 2014



Opération Epic Turla : résolution de certains des mystères de Snake/Uroburos



Courrier indésirable en juillet 2014
 
 

  Page d'accueil / Analyses

Baromètre annuel sur la cybercriminalité en 2008 par Kaspersky Lab. Développement des cyber-menaces en 2008

4.03.2009   |   comment

Sergueï Golovanov
Senior Malware Analyst
Alexander Gostev
Expert Antivirus Senior, Kaspersky Lab
Vitaly Kamluk
Oleg Zaitsev
Oleg a rejoint Kaspersky Lab en 2007 en tant que développeur au sein du groupe d'analyse des menaces complexes. Il a été promu à la fonction d'expert en technologie en novembre 2008 et il est chargé des recherches dans le domaine des nouvelles technologies de détection et de réparation, d'analyse et de réparation des systèmes distants et d'analyse du comportement des programmes malveillants.
  1. Développement des cyber-menaces en 2008
  2. Principales statistiques pour 2008
  3. Courrier indésirable en 2008

Bilan pour l'année 2008

2008 a démontré que l'ère des épidémies est révolue. Dès l'année 2000, les réseaux informatiques ont été pris d'assaut par un grand nombre de vers à l'origine d'épidémies mondiales et diffusés tout d'abord par courrier électronique puis à l'aide d'attaques de réseau. Le pic des épidémies se situe entre 2003 et 2005.

Les années 2007 et 2008 marquèrent le début d'une nouvelle ère caractérisée par l’émergence des chevaux de Troie développés pour le vol d'informations majoritairement en rapport avec des systèmes de transactions bancaires ou de jeux en ligne. Les développeurs de programmes malveillants ont adopté le concept de "séparation des tâches" dans la mesure où la création, la diffusion et l'utilisation des programmes malveillants sont réalisées par des groupes différents. En réalité, l'activité cybercriminelle s'est finalement transformée en un réseau de services échangés au sein de cette activité.

Alors que les chercheurs de Kaspersky Lab constataient en 2007 la mort du programme malveillant non commercial, l'année 2008 aura été marquée par l'extinction des programmes malveillants "exclusifs" créés et utilisés par une ou deux personnes. En effet, la grande majorité des chevaux de Troie et des virus découverts en 2008 ont été développés pour la vente. Les services d'assistance technique de ces produits ont été fortement sollicités, notamment les méthodes de contournement des logiciels antivirus dès que ceux-ci commençaient à identifier un fichier en particulier.

A l’échelle internationale, le rôle de leader incontesté dans la production de logiciels malveillants revient à la Chine. Loin de se contenter de développer leurs propres chevaux de Troie, les cybercriminels chinois ont commencé à adapter des virus étrangers, russes principalement. Ils ont ainsi créé des versions chinoises de kits de codes d'exploitation aussi répandus que IcePack, FirePack et MPack et ils ont également traduit quelques versions des chevaux de Troie Pinch et Zeus.

Parallèlement, l'activité des cybercriminels chinois n'a pas faibli en matière de recherche de nouvelles vulnérabilités dans les logiciels les plus utilisés dont Microsoft Office et Microsoft Windows. Ils ont remporté un certain succès, notamment avec la découverte de la vulnérabilité NetAPI dans Windows. C'est ainsi que la fin de l'année 2008 fut marquée par un nombre considérable d'attaques reposant sur la vulnérabilité MS08-067.

Entre avril et octobre 2008, l'expression "le grand piratage chinois" a été utilisée dans les médias. Le réseau Internet a été victime de deux attaques en masse d'une ampleur sans précédent dans l'histoire d'Internet et qui visaient à compromettre des sites Web. Lors de la première attaque, menée entre avril et juin 2008, plus de deux millions de ressources Internet dans le monde furent compromises. Les cybercriminels employèrent principalement les injections SQL qui permettent d'intégrer dans le code du site compromis des instructions pour rediriger les internautes, à leur insu, vers les sites des pirates d'où les programmes malveillants seront téléchargés sur les ordinateurs des victimes.

Par ailleurs, les auteurs de virus russophones ne sont pas restés inactifs. Ils ont poursuivi l'introduction du modèle Malware 2.0 qui repose sur la répartition des différents modules malveillants selon la fonction et l'utilisation de moyens d'interaction universels entre les modules et les canaux d'échange de données protégés des interactions avec l'extérieur et les centres d'administration des réseaux de zombies.

Cette tendance s'est très clairement manifestée avec deux outils de dissimulation d'activité extrêmement dangereux découverts en 2008š: Rustock.C (ou Virus.Win32.Rustock.A selon la classification de Kaspersky Lab) et Sinowal (Bootkit). Ces outils exploitaient des technologies révolutionnaires auxquelles les éditeurs de logiciels antivirus n'avaient jamais été confrontés et les puissantes infrastructures développées autour d'eux dépassaient par leur ampleur et leur complexité les exemples antérieurs de Zhelatin et Warezov.

Conformément aux prévisions de Kaspersky Lab, l'année 2008 fut marquée par le retour des virus de fichiers. Outre la fonction traditionnelle, à savoir l'infection de fichiers, ces virus furent enrichis d'une fonction de vol de données et de la possibilité de se propager via les disques amovibles et ils purent ainsi infecter rapidement les ordinateurs d'utilisateurs du monde entier. Les virus contemporains ont ainsi adopté une structure polymorphe du code, ce qui pose de nouveaux problèmes aux éditeurs de logiciels antivirus qui bien souvent ne parviennent pas à proposer des outils de réparation et de détection de ces menaces à temps.

Les vers présents sur les clés USB peuvent contourner les moyens traditionnels de protection des réseaux des entreprises, à savoir le logiciel antivirus de messagerie électronique, le pare-feu et le logiciel antivirus sur le serveur de fichiers. Une fois implanté sur un poste local après avoir évité ces modes de contrôle, ce ver peut se diffuser sur tout le réseau en se copiant dans toutes les ressources de réseau accessibles.

La popularité croissante des réseaux sociaux et leur popularité dans les pays comptant un nombre élevé de nouveaux internautes (Asie du Sud Est, Inde, Chine, Amérique du Sud, Turquie, Afrique du Nord, pays de l'ex-URSS) se sont traduites par un nombre inquiétant d'attaques. Ces réseaux sociaux sont utilisés non seulement pour diffuser de nouveaux programmes malveillants mais aussi pour la collecte d'informations et pour la réalisation de nombreuses escroqueries, y compris l'hameçonnage. L'épidémie la plus remarquable qui a touché les utilisateurs de réseau sociaux est imputable au ver Koobface dont les premières versions furent découvertes par Kaspersky Lab en juillet 2008. Ce ver, qui s'attaque aux utilisateurs des réseaux sociaux Facebook et MySpace, devint un problème sérieux en décembre et il inquiéta encore plus la communauté informatique lorsque de nouvelles versions capables d'attaquer les utilisateurs d'un troisième réseau social populaire (Bebo) furent identifiées.

La diffusion de nombreuses versions du ver Zhelatin (Storm Worm) s'est arrêtée en 2008. Tout au long de ses deux années d'existence (les premières versions du ver furent identifiées en janvier 2007), ce ver a posé plus de questions qu'il n'a fourni de réponses. Le quasi-légendaire "réseau de zombies de la tempête" dont la taille atteignait deux millions de machines selon certaines estimations (certains experts avancèrent le chiffre de 50 millions) ne démontra pas toute sa puissance. Les diffusions titanesques de courrier indésirable ou d'attaques DDoS attendues n'ont finalement pas eu lieu.

Ceci s'explique peut-être en partie par la fermeture effective de la tristement célèbre société d'hébergement cybercriminelle RBN (Russian Business Network). Les articles fréquents dans la presse sur la possible implication de RBN dans tous les incidents criminels survenus sur Internet ont poussé les propriétaires inconnus de RBN à scinder leur activité et à créer plusieurs sociétés d'hébergement autonomes à travers le monde, depuis Singapour jusqu'à l'Ukraine et à réaliser leurs activités de manière un peu plus discrète.

Ainsi, il aura été plus facile de lutter contre les petits clones de RBN que contre le monstre gigantesque. Plusieurs coups significatifs furent portés aux cybercriminels en automne. Grâce aux efforts coordonnés de sociétés Internet, de sociétés actives dans la sécurité des informations et des autorités publiques, Atrivo/Intercage, EstDomains et McColo furent fermés. Ces fermetures entraînèrent une réduction drastique (de plus de 50š%) du volume du courrier indésirable sur Internet. De nombreux réseaux de zombies administrés depuis ces ressources bloquées cessèrent leur activité. Même si après quelques semaines le volume de courrier indésirable commença à augmenter à nouveau, cet événement doit être considéré comme une des victoires les plus significatives de ces dernières années.

Principales tendances de l'année 2008

Parmi tous les événements survenus en 2008, les chercheurs de Kaspersky Lab isolent quatre sujets significatifs ayant touché l'ensemble des acteurs qui luttent contre la cybercriminalité et ayant eu un impact important sur la sécurité des informations.

Il était prévisible que ces secteurs et ces technologies se retrouvent au centre des attentions. Il est également important de voir que les événements survenus en 2008 démontrent clairement le potentiel de ces problèmes et l'inéluctabilité de leur développement et de leur complication dans un avenir proche.

La problématique des outils de dissimulation d'activité figure depuis longtemps parmi les plus intéressantes. Au cours de l'année 2008, les chercheurs de Kaspersky Lab ont publié trois analyses d'envergure consacrées à cette questionš: «Rustock et tout le reste», «Evolution des outils de dissimulation de l'activité», «Outil de dissimulation d'activitéš: défi de 2008». Les études révèlent toute la potentialité d’attaques complexes dans ce domaine. La situation est notamment compliquée en raison du manque d'attention portée par les éditeurs de logiciels antivirus à la problématique de la découverte et de la suppression des outils de dissimulation de l’activité.

Le développement du système d'exploitation Windows n'a rien changé à la situation et dans les années à venir, les outils de dissimulation de l'activité vont continuer à exister et vont devenir plus complexes et plus pernicieuses.

L'année dernière, les réseaux sociaux ont été victimes de nombreuses attaques. A l'heure actuelle, les réseaux sociaux figurent parmi les quelques clés de voûte d'Internet qui définissent son développement et qui impliquent un nombre croissant d'utilisateurs. Les sociétés Internet exploitent toutes les possibilités pour offrir de nouveaux services, pour réaliser des campagnes publicitaires ou pour offrir des services connexes. Dans les pays développés, la quasi-majorité des utilisateurs d'Internet est membre d'un réseau social et les chercheurs de Kaspersky Lab observent une croissance sensible du nombre d'Internautes dans les pays du sud-est asiatique.

En parallèle, se développent les jeux en ligne. Même si ils ne font pas directement partie d'Internet (dans ce cas, Internet n'est qu'un moyen de communication), ils représentent néanmoins une part importante de la vie de la communauté moderne. Très répandus en Asie (Corée du Sud, Chine, pays d'Asie du Sud-Est), les jeux en ligne sont devenus les cibles de choix des auteurs de virus et les victimes d'attaques sous de multiples formes.

Les chercheurs de Kaspersky Lab remarquent un changement de leaderš: les chevaux de Troie de jeux occupent la première place, après avoir détrôné les chevaux de Troie qui attaquent les utilisateurs des systèmes de paiement et de transactions bancaires en ligne. Les chevaux de Troie de jeux ont toujours exploité de nouvelles technologies, notamment au niveau des mécanismes d'infection des fichiers diffusés sur les médias amovibles. Ces chevaux de Troie ont également été utilisés pour mettre en place des réseaux de zombies.

De plus, c'est la propagation des chevaux de Troie de jeu qui fut un des principaux objectifs poursuivis par les organisateurs des attaques gigantesques du "Grand piratage chinois" qui ont touché l'ensemble d'Internet.

Le mot "réseau de zombies" utilisé seulement, il y a quelques années, par les employés des sociétés de logiciels antivirus, fait désormais partie du vocabulaire commun. Les réseaux de zombies sont devenus la principale source de propagation du courrier indésirable, des attaques DDoS et de diffusion de nouveaux virus. Les réseaux de zombies se cachent derrière tous les sujets abordés dans ce rapportš: outils de dissimulation d'activité, réseaux sociaux, jeux en ligne, etc.

En 2008, en plus de l'analyse de plusieurs réseaux de zombies, Kaspersky Lab a publié un article sur ce sujetš: "Réseaux de zombies"

www.viruslist.com/ru/analysis qui présente dans les grandes lignes les principes de fonctionnement et d'utilisation. Comme déjà indiqué, l'ampleur réelle du problème et son influence sur l'ensemble de l'activité des auteurs de virus sont difficiles à évaluer. La résolution de ce problème a une influence directe sur la sécurité de l'ensemble d'Internet mais les efforts d'un seul éditeur de logiciels antivirus ou même de plusieurs ne suffisent pas. Il faut impliquer les sociétés chargées de la régulation d'Internet ainsi que les structures gouvernementales et les organes judiciaires.

Heureusement, des initiatives ont été prises en la matière et plusieurs conférences d'envergure ont été organisées en 2008 sur cette problématique et les mesures indispensables à l'amélioration de la situation y ont été adoptées. La fermeture des sociétés Atrivo et McColo trouve également son origine en partie dans le cadre de ce processus. Toutefois, la victoire finale est loin d'être acquise. Les réseaux de zombies resteront en 2009 un des principaux problèmes auquel devra faire face Internet.

Outils de dissimulation d'activité

L'année 2008 fut marquée par deux événements en rapport avec les outils de dissimulation d'activitéš: l'étude du célèbre outil de dissimulation d'activité Rustock.C (rendu célèbre non seulement par ses particularités technologiques mais surtout par le tapage autour de son caractère insaisissable) et l'émergence de nombreux bootkits ITW de la famille Sinowal.

Rustock.C, selon la classification de Kaspersky Lab, est détecté en tant que Virus.Win32.Rustock.a. La présence d'une fonction d'infection des fichiers dans cet outil de dissimulation d'activité explique la classification du programme en tant que "Virus".

Tendances fondamentales présentes dans l'outil de dissimulation d'activité Rustock.C

  1. Dispositif d'infection en tant que mode de lancement automatique.

    Le principe d'infection des fichiers dans l'outil de dissimulation d'activité Rustock.C n'est pas sans rappeler celui d'un virus de fichiers traditionnel, la seule différence étant que Rustock infecte le pilote système. Ceci confère à l'outil de dissimulation d'activité de nombreux avantages du point de vue de la dissimulationš: l'absence d'un pilote distinct dans l'outil de dissimulation d'activité le prive de la nécessité de se masquer sur le disque et dans la mémoire et il n'est pas non plus nécessaire de dissimuler le pilote correspondant de l'outil de la clé de registre. Outre la dissimulation, l'infection du pilote complique sensiblement la réparation de l'ordinateurš: s’il suffisait de supprimer les composants du disque lors de l'infection par un outil de dissimulation d'activité traditionnel, il faut aujourd’hui soit restaurer le pilote infecté depuis la copie de sauvegarde soit utiliser la procédure de réparation proposée par le logiciel antivirus.

  2. Personnalisation de l'outil de dissimulation d'activité et association aux composants matériels de l'ordinateur.

    La principale particularité du concept est la suivanteš: le dropper de l'outil de dissimulation d'activité recueille les informations système sur l'ordinateur infecté et les transmet à un serveur via Internet où le corps d'un outil de dissimulation d'activité lié aux paramètres reçus sera créé. Il est ensuite transmis sous forme chiffrée au dropper. L'association au matériel et le chiffrement du corps transmis de l'outil de dissimulation d'activité ainsi que les méthodes d'antiémulation appliquées dans l'outil compliquent sa découverte par les outils automatiques de contrôle du réseau et rendent impossible l'analyse automatique des échantillons reçus.

Les méthodes exploitées dans Rustock.C ont encore été développées. Ainsi, un modèle ITW de l'outil de dissimulation d'activité (détecté actuellement par Kaspersky Lab comme Trojan.Win32.Pakes.may) fonctionnant selon un modèle similaire fut découvert en décembre 2008. Cet outil de dissimulation de l'activité infecte le pilote système ndis.sys tandis que le corps de l'outil de dissimulation d'activité est téléchargé sous forme chiffrée depuis panda-server.ru. Le code placé dans ndis.sys infecté est chiffré. Son chargement est accompagné du lancement d'un code protecteur qui décrypte le pilote et lui transmet des instructions. Ce modèle ITW exploite toutes les technologies de base de Rustock.Cš: chargement du corps de l'outil de dissimulation d'activité sous forme chiffrée depuis le site des auteurs du programme malveillant, application d'une méthode de protection contre l'analyse (cryptographie, astuces contre le débogage). Le principe de fonctionnement de cet outil de dissimulation d'activité est similaire à celui de Rustockš: il diffuse du courrier indésirable en insérant, dans les processus système, un code responsable du chargement des modèles et des paramètres de diffusion du courrier indésirable et, par conséquent, de la diffusion en elle-même.

Bootkits

Les exemplaires de bootkits exploitant les principes fondamentaux de construction de cette catégorie de programmes malveillants (au niveau conceptuel et au niveau de la fonctionnalité de la démo) sont apparus en 2005-2006 après la publication de documents connus sous le nom d'eEye Bootroot. Des exemplaires ITW de bootkits ont été découverts en 2007 et le pic de diffusion fut enregistré en 2008.

Trojan-Spy.Win32.Sinowal est le bootkit le plus connu. Le principe de fonctionnement du bootkit repose sur la conception des virus de boot datant d'avant DOS et consiste à infecter les secteurs Boot ou MBR du disque système, ce qui permet au bootkit de gérer le système dans les premiers stades du chargement, à savoir avant le chargement du noyau du système d'exploitation et le lancement du logiciel antivirus. Une fois qu'il a pris les commandes, le bootkit se place dans l'espace d'adressage du noyau et masque ses secteurs sur le disque. La dissimulation est réalisée selon des méthodes traditionnelles, en règle générale via le filtrage des paquets IRP. S'agissant du dropper de l'outil de dissimulation, il est fréquent d'assister à l'ouverture du disque en lecture/écriture par secteur, ce qui permet d'identifier des opérations similaires au niveau de l'émulateur/système d'estimation du niveau de sécurité ou au niveau HIPS/PDM et de bloquer le dropper.

Autres tendances liées au développement des technologies d'outil de dissimulation d'activité en 2008

L'année 2008 aura également été marquée par le développement deš:

  1. Technologies de résistance active des outils de dissimulation d'activité contre les logiciels antivirus et les utilitaires de lutte contre les virus. L'arsenal des technologies de résistance n'a cessé d'évoluer au fil de l'année. Parmi les méthodes les plus populaires, citonsš:
    • Blocage et corruption des fichiers du logiciel antivirus. L'identification des fichiers s'opère soit selon le masque du nom de fichier, soit selon les signatures. La méthode de blocage sur la base de signatures est bien plus dangereuse en raison de son caractère universel.
    • Insertion d'outils de dissimulation d'activité par remplacement de pilotes système, par exemple beep.sys. Dans ce cas, l'enregistrement du pilote dans le registre n'est pas requis et les pilotes auxiliaires sont invisibles dans les protocoles d'étude du système.
    • Application de nouvelles méthodes d'autodéfense et de dissimulation. Outre les interceptions des fonctions KiST, le découpage du code machine des fonctions du noyau et les filtrages IRP traditionnels, le découpage du code des processeurs de pilotes IRP a été introduit ainsi que l'utilisation des procédures CallBack du mécanisme système standard sur les opérations touchant au registre. De même, des méthodes de résistance aux dispositifs de lutte contre les outils de dissimulation d'activité ont été activement employées, par exempleš:
      • Le blocage de l'accès aux fichiers du noyau, ce qui empêche toute analyse du code machine de ces fichiers, élément indispensable au rétablissement du noyau dans la mémoire et de la recherche des fonctions interceptéesš;
      • Remplacement du contexte des fichiers du noyau et des fichiers appartenant à l'outil de dissimulation d'activité, en général, grâce à l'interception de la fonction d'ouverture du fichier et à l'ouverture d'un autre fichier EXE système quelconque au lieu du noyauš;
      • Blocage de l'ouverture du disque pour la lecture/l'écriture par secteur, moyen qui permet de résister aux dispositifs de lutte contre les outils de dissimulation d'activité et les logiciels antivirus qui utilisent leurs propres algorithmes d'interprétation du système de fichiersš;
      • Interception des fonctions NTSaveKey et NTSaveKeyEx pour le blocage du vidage des clés du registre et leur interprétation ultérieure (cette méthode a été particulièrement utilisée dans les générations les plus récentes des outils de dissimulation d'activité TDSS)š;
      • Suivi de ces interceptions et leur rétablissement (cette méthode, déjà utilisée dans l'outil de dissimulation d'activité A311 Death, est à nouveau très populaire, par exemple dans les versions les plus récentes de l'outil de dissimulation d'activité TDSS).
  2. Les nouvelles technologies de dissimulation des objets sur le disque reposent sur la modification des objets MFT au moment de la lecture ou directement sur le disque. Ces technologies ne sont pas encore largement utilisées mais il est probable qu'elles se développent. La méthode de dissimulation peut prendre, par exemple, la forme suivanteš: l'outil de dissimulation d'activité étudie l'emplacement physique des cellules MFT qui l'intéressent puis, au moment de la lecture du disque, il remplace le contenu des cellules MFT pour le fichier protégé par celui de la cellule d'un objet système, ce qui permet de masquer le contenu des fichiers sans les interceptions classiques. Un autre exemple est la modification des index du volume NTFS (ce comportement a été observé dans le modèle ITW par Vassili Berdnikov en septembre 2008, dans le composant-outil de dissimulation d'activité Trojan-GameThief.Win32.OnLineGames.snjl).

Programmes malveillants pour les jeux

Bien que les règles de la majorité des jeux interdisent la vente des actifs virtuels pour de l'argent, le nombre d'acheteurs potentiels ne cesse d'augmenter. En général, l'acheteur ne se soucie guère de la provenance des "objets" qu'il souhaite acquérir. Peu l'importe si ces objets ont été gagnés par un autre joueur et dérobés à l'aide d'un programme malveillant. Cette situation est imputable aux auteurs de virus et elle entraîne une augmentation des prix des actifs virtuels et facilite la criminalisation du marché.

Kaspersky Lab a enregistré en 2007 une croissance continue du nombre de programmes malveillants développés pour voler les mots de passe d'accès aux jeux en ligne. La situation n'a fait malheureusement qu'empirer en 2008š: ont ainsi été découverts en un an 100š397 nouveaux chevaux de Troie de jeux, soit le triple du chiffre enregistré pour cette catégorie en 2007 (32š374).


Total de programmes malveillants développés
pour voler les mots de passe d'accès aux jeux en ligne

Parmi les familles de programmes malveillants qui s'en prennent aux joueurs en ligne, la plus nombreuse demeure Trojan-GameThief.Win32.OnLineGames. Les membres de cette famille volent les mots de passe d'accès à au moins deux jeux. Trojan-GameThief.Win32.OnLineGames regroupe 65,4% de tous les chevaux de Troie de jeu. Un des événements marquants de l'année 2008 fut l'explosion incroyable de l'activité des programmes malveillants de cette catégorie en août, durant les vacances, qui correspondent à la période d'activité la plus chargée pour les joueurs. En août 2008, les experts de Kaspersky Lab ont détecté plus de 12š000 nouveaux programmes malveillants en rapport avec la famille Trojan-GameThief.Win32.OnLineGames. Autrement dit, au cours de cette période, un nouveau programme est apparu toutes les quatre minutes.

Dans ce contexte, l'activité de la famille de programmes malveillants Trojan-GameThief.Win32.WOW, qui vise uniquement les joueurs de World of Warcraft, a augmenté de façon régulière jusqu'en novembre 2008 où nous avons observé une attaque de grande envergure contre plusieurs sites dans le but de diffuser les programmes malveillants de cette famille. Les individus mal intentionnés ont réussi à compromettre près de 10š000 sites et à y placer leur programme malveillant. Ce sont surtout des sites américains et européens qui ont été attaqués car ces deux régions abritent le plus grand nombre de joueurs de World of Warcraft. L'attaque contre les sites fut organisée afin de correspondre à la sortie, le 13 novembre, d'une nouvelle expansion au jeu baptisée Wrath of the Lich King.

 
Nombre de programmes malveillants (par famille)
attaquant les joueurs de jeux en ligne en 2008

La grande majorité des programmes malveillants qui volent les mots de passe d'accès aux jeux en ligne sont des chevaux de Troie. Les virus et les vers ne constituent que 10š% environ de ces programmes malveillants. En septembre 2008, la situation liée à la diffusion automatique des programmes malveillants volant les mots de passe d'accès aux jeux en ligne s'est aggravéeš: le début de l'année scolaire a été marqué par une hausse sensible du nombre de nouveaux programmes malveillants de la famille Worm.Win32.AutoRun.

Caractéristiques principales des programmes malveillants de jeux

Parmi les principales caractéristiques des programmes malveillants qui ont attaqué les adeptes de jeux en ligne en 2008, nous pouvons citerš:

  • La présence dans un programme de modules pour le vol de mots de passe d'accès à plusieurs jeux en ligneš;
  • La présence d'une porte dérobée permettant de regrouper les ordinateurs infectés au sein d'un réseau de zombiesš;
  • Le recours actif aux chiffreurs et aux compacteurs afin de compliquer l'analyse et la détection du programme malveillantš;
  • La résistance active aux logiciels antivirusš;
  • L'utilisation de technologies de dissimulation de l'activité.

La famille la plus développée au niveau technologique en 2008 fut la famille Trojan-GameThief.Win32.Magania, dont les membres furent coupables des incidents les plus marquants liés à la diffusion de programmes malveillants de jeux. En juin 2008, les auteurs du virus ont modifié leur création afin que les programmes malveillants de cette catégorie, qui jusqu'alors s'en prenaient uniquement aux joueurs d'un seul portail de jeu (Gamania, http://en.wikipedia.org/wiki/Gamania), volent les mots de passe d'accès à la quasi totalité des jeux en ligne connus dontš:

  • World of Warcraft
  • Lineage
  • Lineage 2
  • FunTown
  • ZhengTu
  • Perfect World
  • Dekaron Siwan Mojie
  • HuangYi Online
  • RuneScape
  • Rexue Jianghu
  • ROHAN Online
  • Seal Online
  • Lord of the Rings
  • Maple Story
  • Reign of Revolution
  • Talesweaver
  • ZodiacOnline.

Trojan-GameThief.Win32.Magania a surtout exploité les techniques actives et passives de lutte contre l'identification du programme malveillant et la réparation des ordinateurs infectés.

 
Exemple d'utilisation des technologies de dissimulation d'activité dans Trojan-GameThief.Win32.Magania

Diffusion de programmes malveillants de jeux

En 2008, les cybercriminels ont surtout utilisé les techniques suivantes pour diffuser les programmes malveillants qui volent les mots de passe d'accès aux jeux en ligneš:

  • Vulnérabilités inconnues des moteurs de ressources Internet pour l'infection en masse de sitesš;
  • Vulnérabilités inconnues des applications clientsš;
  • Actualisation du code malveillant plus fréquente que l'actualisation régulière des bases antivirus sur les ordinateurs infectésš;
  • Diffusion de messages non sollicités contenant des liens vers des pages infectées.

Une centaine de nouveaux programmes malveillants qui volent les mots de passe d'accès aux jeux en ligne infectent en moyenne 500 ordinateurs. Une telle efficacité dans la diffusion des programmes malveillants de jeux est atteinte grâce à l'utilisation des vulnérabilités des applications installées sur les ordinateurs des visiteurs de sites très fréquentés. Alors qu'en 2007, la lutte contre les programmes dérobant les mots de passe d'accès aux jeux en ligne était menée principalement par les éditeurs de logiciels antivirus, les développeurs de jeux et l'administration des serveurs de jeux, 2008 aura été marquée par l'entrée dans la bataille des administrateurs des sites compromis et des développeurs des applications utilisées pour infiltrer les programmes malveillants dans les ordinateurs des victimes.

L'incident le plus notable aura été l'exploitation d'une erreur dans le traitement des fichiers XML par Internet Explorer afin de diffuser des programmes malveillants de la famille Trojan-GameThief.Win32.Magania. La vulnérabilité MS08-78 fut si populaire que, selon Microsoft, 0,2% des utilisateurs d'Internet furent infectés.

 
Exemple de disposition des serveurs abritant les codes d'exploitation utilisés
pour diffuser les chevaux de Troie de jeu

L’efficacité de la diffusion des programmes malveillants permet également de les modifier rapidement. Le programme change d'apparence avant même que la signature du virus n'apparaisse sur les ordinateurs des utilisateurs de logiciels antivirus.

Voici une liste des événements les plus marquants pour 2008 dans le domaine de la diffusion de programmes malveillants qui volent les mots de passe d'accès aux jeux en ligneš:

Avril 2008. Plus 1,5 millions de sites Web sont compromis par des cybercriminels inconnus. Objectifš: infecter les ordinateurs des visiteurs de ces sites avec une copie du programme malveillant Trojan-GameThief.Win32.OnLineGames.

Juin 2008. Diffusion massive de messages non sollicités contenant des liens vers le virus polymorphe Virus.Win32.Alman.b dont les fonctions intègrent un module de vol de mots de passe d'accès aux jeux en ligne. La découverte d'Alman.b remonte à avril 2007.

Août 2008. Le programme de vol de mots de passe d'accès aux jeux en ligne Trojan-GameThief.Win32.Magania est découvert à bord de la station spatiale internationale.

Décembre 2008. La diffusion des programmes malveillants de la famille Trojan-GameThief.Win32.Magania est rendue possible grâce à la vulnérabilité critique MS08-78 dans Internet Explorer.

Livraison des données volées aux individus mal intentionnés

Les programmes malveillants transmettent les mots de passe volés aux cybercriminels. Ils sont envoyés par courrier électronique vers des serveurs spéciaux qui transfèrent les informations reçues à l'adresse des individus mal intentionnés. L'adresse IP des serveurs change souvent (dans la majorité des cas, plusieurs fois par jour).

Cette méthode préserve l'anonymat des individus mal intentionnés et le changement fréquent des noms de domaine des serveurs intermédiaires permet d'éviter l'ajout de l'adresse de ces serveurs dans les listes noires.

 
Exemple de disposition d'un serveur intermédiaire recevant les
messages contenant les mots de passe volés

Les serveurs chargés de la livraison des codes d'exploitation, des programmes malveillants et des messages contenant les mots de passe d'accès volés aux jeux en ligne se trouvent principalement en Asie.

Pronostics

Tout semble indiquer que la crise financière internationale ne va pas toucher le secteur des jeux et le développement des mondes ludiques va se poursuivre en 2009.

Les principales tendances pour 2009 vont êtreš:

  • La mise en place d'une structure développée pour la création automatique et la diffusion de programmes malveillants chargés de voler les mots de passe d'accès aux jeux en ligneš;
  • L'utilisation de nouveaux canaux de diffusion des programmes malveillants vers les utilisateurs (messagerie instantanée, réseau p2p, etc.)š;
  • L'utilisation massive de vulnérabilités pour lesquelles il n'existe pas encore de correctifs dans les applications et les systèmes d'exploitationš;
  • L'utilisation massive de vulnérabilités pour lesquelles il n'existe pas encore de correctifs afin de compromettre un nombre maximum de sites Web dans le but de diffuser les programmes malveillantsš;
  • Recours actif aux virus de fichiers et aux vers de réseau pour le vol des mots de passe d'accès aux jeux en ligneš;

Les attaques cybercriminelles vont être de plus en plus pernicieuses. De leur côté, les joueurs vont contribuer au développement du marché noir des actifs virtuels qui permet aux pirates et aux auteurs de virus de gagner de l'argent.

Développement des menaces dans les réseaux sociaux

Au cours des dernières années, les réseaux sociaux ont atteint un niveau de popularité élevé parmi les sites Web. Selon les estimations des sociétés RelevantView et eVOC Insights, le nombre d'utilisateurs de réseaux sociaux atteindra 80š% de l'ensemble des utilisateurs d'Internet, soit plus d'un milliard de personnes, en 2009.

Les cybercriminels suivent de très près la popularité croissante des réseaux sociauxš: en 2008, les réseaux sociaux sont devenus des vecteurs de propagation de programmes malveillants et de courrier indésirable ainsi qu'une source complémentaire de revenus illicites sur Internet.

Pourquoi les réseaux sociauxš?

En général, les utilisateurs des réseaux sociaux établissent des relations de confiance. Les utilisateurs se méfient peu des messages en provenance d'expéditeurs qui figurent parmi les "amis" ou les contacts de confiance et cette attitude crée les conditions idéales pour la diffusion de liens menant à des sites infectés. Divers prétextes sont employés pour forcer l'utilisateur à cliquer sur le lien envoyé et à télécharger le programme malveillant.

Le schéma de diffusion des programmes malveillants ressemble à ceciš:

  • L'utilisateur reçoit un lien en provenance d'un contact de confiance (par exemple une vidéo).
  • Pour voir cette vidéo, il faut installer un programme spécial.
  • Une fois installé, ce programme vole les données du compte utilisateur du réseau social et continue à diffuser le programme malveillant aux contacts de confiance de la nouvelle victime.

Ce schéma de diffusion n'est pas sans rappeler celui des vers de messagerie. Ceci étant, l'efficacité de la diffusion du code malveillant dans les réseaux sociaux est d'environ 10š%, ce qui est bien supérieure à l'efficacité des méthodes classiques de diffusion des programmes malveillants par courrier électronique (inférieure à 1š%).

Le nom d'utilisateur et le mot de passe d'accès au réseau social volés peuvent être utilisés pour diffuser des liens vers des sites infectés, des messages non sollicités ou des messages d'escroquerie (par exemple, demande de transfert d'argent pour une urgence) aux contacts de confiance. Chacune de ces méthodes est, d'une manière ou d'une autre, une source de revenus pour les cybercriminels.

On peut trouver sur Internet des propositions formulées par des cybercriminels pour voler les données des utilisateurs de réseau sociaux, diffuser n'importe quel message aux contacts ou récolter des informations sur un utilisateur en particulier.

 
Exemple de proposition de cybercriminels pour voler des données de comptes utilisateur

Programmes malveillants

A la fin de l'année 2008, la collection de Kaspersky Lab contenait plus de 43š000 fichiers malveillants liés d'une manière ou d'une autre aux réseaux sociaux.


Total de programmes malveillants qui s'attaquent aux
utilisateurs de réseaux sociaux

Les réseaux sociaux intéressent de plus en plus les auteurs de virus, comme en témoigne le nombre de programmes malveillants qui s'attaquent aux utilisateurs de réseaux sociaux et qui ont été envoyés au laboratoire de recherche sur les virus.


Nombre de programmes malveillants qui s'attaquent
aux utilisateurs des réseaux sociaux les plus fréquentés

La comparaison du nombre de programme malveillants qui se sont attaqués aux utilisateurs de divers réseaux sociaux en 2008 et du nombre d'utilisateurs enregistrés dans ces réseaux http://en.wikipedia.org/wiki/List_of_social_networking_websites permet de dresser le classement des sites les plus "dangereux" pour les utilisateurs.

Réseau social Nombre de
programmes
malveillants
pour 2008
Nombre
d'utilisateurs
enregistrés
Probabilité
d'infection d'un
utilisateur
Répartition
géographique
des utilisateurs
enregistrés
(source : lemonde.fr)
Odnoklassniki 3302 22 000 000 0,0150% Russie
Orkut 5984 67 000 000 0,0089% Amérique latine
Bebo 2375 40 000 000 0,0059% Europe
Livejournal 846 18 000 000 0,0047% Russie
Friendster 2835 90 000 000 0,0032% Région Asie-Pacifique
Myspace 7487 253 000 000 0,0030% Amérique du Nord
Facebook 3620 140 000 000 0,0026% Amérique du Nord
Cyworld 301 20 000 000 0,0015% Corée du Sud
Skyblog 28 2 200 000 0,0013% France

Classement des réseaux sociaux les plus dangereux

En termes de programmes malveillants par utilisateur, la première place revient au réseau russe "Odnoklassniki.ru". Le réseau social le plus populaire au monde, à savoir MySpace, occupe la 6e placement seulement dans ce classement, bien qu'il devance ses congénères en termes de programmes malveillants diffusés en 2008 parmi ses utilisateurs.

Les utilisateurs des réseaux sociaux ont été victimes de programmes malveillants de diverses catégories. Il peut s'agir de Trojan-Spy, Trojan-PSW, Worm, Trojan et de biens d'autres.

Attaques menées contre les utilisateurs de réseaux sociaux en 2008

Janvier 2008. L'application Flash Secret Crush, contenant un lien vers un logiciel publicitaire, est placée sur Facebook. Elle a pu être installée chez 1,5 millions d'utilisateurs avant d'être supprimée par les administrateurs du réseau.

Mai 2008. Kaspersky Lab découvre le programme malveillant Trojan-Mailfinder.Win32.Myspamce.a qui diffuse des messages non sollicités dans les commentaires des "amis" sur MySpace. Au cours de la même semaine, un ver de réseau pour le réseau social russe "VKontakte" (Net-Worm.Win32.Rovud.a) qui diffuse un lien malveillant aux contacts de confiance de l'utilisateur infecté fait son apparition. Quelques jours plus tard, les utilisateurs du réseau social "Odnoklassniki.ru" sont victimes d'une diffusion de courrier indésirable qui contient un lien vers le site miss-runet.net avec une demande de participer au vote en faveur d'une candidate. Au moment du vote, un programme malveillant de la famille Trojan-Dropper.Win32.Agent est téléchargé sur l'ordinateur.

Juin 2008. Un message prétendument envoyé par l'administration du réseau "Odnoklassniki.ru" est envoyé aux utilisateurs du réseau. En cliquant sur le lien contenu dans le message, les utilisateurs arrivent sur une page qui ressemble à la page d'accueil du site et d'où un cheval de Troie est téléchargé. Une fois installé, le cheval de Troie télécharge d'autres fichiers malveillants et renvoie automatiquement l'utilisateur vers le site original du réseau "Odnoclassniki.ru".

Juillet 2008. Kaspersky Lab identifie plusieurs programmes malveillants sur les réseaux sociaux Facebook, MySpace et "VKontakte". Net-Worm.Win32.Koobface.a se propageait sur MySpace tout comme l'exemplaire découvert en mai (Trojan-Mailfinder.Win32.Myspamce.a), à savoir via les commentaires des amis. Net-Worm.Win32.Koobface.b, la version suivante du ver, se propageait sur le réseau Facebook. Le ver envoyait des messages aux "amis" de l'utilisateur infecté. Dans les deux cas, les messages et les commentaires envoyés par les vers contenaient un lien vers un site ressemblant à YouTube d'où les internautes étaient invités à télécharger une "nouvelle version de Flash Player". Mais l'internaute téléchargeait en réalité le ver de réseau et infectait de la sorte un nouvel ordinateur.

Lors d'une nouvelle attaque sur le réseau social "VKontakte", les messages non sollicités envoyés aux membres de la liste de contacts contenaient des messages personnels pour le destinataire et ils étaient plus "vivants". Ces messages contenaient un lien vers un serveur d'où l'internaute était redirigé vers des sites érotiques. Ensuite, un codec indispensable à lecture de la vidéo était téléchargé sur l'ordinateur de la victime. Il s'agissait en fait du cheval de Troie Trojan.Win32.Crypt.ey, un objet de type BHO (Browser Helper Object) malveillant. Après cela, les cinq premiers résultats des recherches sur les ordinateurs infectés étaient remplacés par le lien malveillant. Selon les données de Kaspersky Lab, près de 4š000 comptes du réseau social "VKontakte" furent attaqués en l'espace de quelques heures.

Août 2008. Attaque lancée contre le réseau social Twitter qui gagne en popularité. Une page d'utilisateur spécialement créée contenait une photo faisant la publicité d'une vidéo érotique. Après avoir cliqué sur cette photographie, l'utilisateur était invité à télécharger une "nouvelle version d'Adobe Flash", en réalité le cheval de Troie de téléchargement Trojan-Downloader.Win32.Banload.sco.

Décembre 2008. Des liens vers des programmes malveillants pour téléphones mobiles sont diffusés dans le réseau social "VKontakte". Un message proposant de recharger gratuitement le crédit de communication du téléphone mobile est envoyé aux contacts des utilisateurs dont le compte a été attaqué. Il fallait installer sur le téléphone une application Java (le lien vers le fichier était repris dans les messages envoyés) qui était en réalité Trojan-SMS.J2ME.Konov.b. Une fois installé sur le téléphone, le cheval de Troie envoyait un SMS vers 5 numéros payant à l'insu de l'utilisateur. 250 roubles étaient débités du compte de l'utilisateur à chaque envoi d'un SMS.

Il va de soi que ceci n'est pas une liste exhaustive des incidents survenus.

Conclusion

En 2008, les réseaux sociaux sont entrés dans le Top 10 des technologies de l'information les plus sophistiquées, aux côtés de la virtualisation et du cloud computing. Malheureusement, le développement des réseaux sociaux s'accompagne de l'émergence de nouveaux risques et menaces pour les utilisateurs d'Internet.

En 2008, les attaques ciblant les utilisateurs des réseaux sociaux sont devenus plus sophistiquées. Elles ne sont plus le fait isolé de quelques amateurs mais elles représentent désormais une source de revenus additionnelles aux yeux des cybercriminels.

Sur le marché noir, tous les éléments en rapport avec les comptes des utilisateurs des réseaux sociaux ont une valeur financièreš: les données personnelles des utilisateurs sont très demandées et parmi les services proposés, le vol des données d'accès aux comptes des utilisateurs de réseaux sociaux et la diffusion de messages non sollicités aux contacts de ceux sont très populaires. La commercialisation favorise le développement de l'intérêt de la communauté informatique clandestine moderne pour les réseaux sociaux et s'accompagne d'une augmentation du nombre de programmes malveillant qui visent les utilisateurs de réseaux sociaux. Cette tendance va se maintenir en 2009.

Activité de réseau des programmes malveillants

La question de savoir ce que font les programmes malveillants sur Internet à l'échelle internationale a toujours été d'actualité. Les technologies les plus répandues de collecte d'informations sur l'activité de réseau malveillante sont connues sous le terme de "honeypot". Toutefois, ces systèmes n'observent que leur propre canal Internet et enregistrent uniquement les tentatives d'attaque contre le serveur par des tiers.

Les chercheurs de Kaspersky Lab ont récolté des statistiques sur l'activité de réseau en observant les programmes malveillants et en enregistrant leur connexion réseau au départ de l'ordinateur infecté. Cette méthode permet d'évaluer de manière objective l'activité des cybercriminels dans les réseaux locaux et sur Internet.

Les statistiques des connexions selon le protocole UDP ne présentent pas un intérêt particulier car les programmes malveillants n'utilisent que très rarement le protocole UDP. C'est la raison pour laquelle sont uniquement mentionnées ici les statistiques relatives aux connexions via le protocole TCP. Les données proposées correspondent à la situation en vigueur à la fin de l'année 2008 et elles ne tiennent pas compte de l'activité de réseau des applications légitimes. La majeure partie du trafic Internet des programmes malveillants est imputable aux réseaux de zombie et les statistiques fournies définissent le trafic des réseaux de zombies.

Ports utilisés par les programmes malveillants

Connexions de réseau

Quels sont les ports les plus souvent utilisés pour les connexions de réseau des programmes malveillantsš?

 
Répartition des connexions de réseau des programmes malveillants

Les ports les plus sollicités pour les connexions de réseau (TCP) des programmes malveillants furent les ports 139, 445 et 135. Il s'agit des ports des services de réseau de Microsoft Windows qui sont utilisés, avant tout, par le service d'échange de fichiers dans le réseau Windows sous le protocole NetBIOS. Notons que bien que Windows réalise des diffusions automatiques de message via ce protocole, les statistiques relatives aux connexions standard du système d'exploitation ne sont pas prises en compte.

Les ports 139, 445 et 135 sont utilisés dans plus de 96š% des connexions de réseau de la majorité des programmes malveillants analysés. Ce pourcentage élevé s'explique par la présence de la vulnérabilité MS08-067 découverte en octobre 2008 dans le service de réseau Windows qui utilise le protocole NetBIOS. Heureusement, la quasi majorité des fournisseurs d'accès bloque le trafic de réseau sur ces ports pour la protection de leurs clients. Le protocole NetBIOS est connu comme source potentielle de vulnérabilités dans le système d'exploitation Windows depuis Windows 95 et Windows 98. Imaginons un instant ce qu'il serait advenu d'Internet en quelques minutes au mois d'octobre si les fournisseurs d'accès n'avaient pas appliqué le filtrage NetBIOSš! Toutefois le problème de la vulnérabilité MS08-067 demeure d'actualité pour les petits réseaux informatiques tels que les réseaux domestiques, les réseaux des petites entreprises ou les réseaux des organismes publics dans lesquels le protocole NetBIOS n'est pas bloqué.

Requêtes de réseau

Le tableau de la popularité des ports ne serait pas complet sans une comparaison entre le nombre de connexions de réseaux et le nombre de requêtes de réseau adressées au port par les programmes malveillants qui établissent ces connexions. Dans ce contexte, la sollicitation du port désigne la transmission d'au moins un paquet de réseau. Ainsi, lorsqu'un programme établit 1š000 connexions avec le même port, nous considérons qu'il s'agit d'une requête de réseau adressée à ce port.

 
Répartition des requêtes de réseau des programmes malveillants

Comme l'indique le diagramme, 34š% des requêtes de réseau des programmes malveillants touchent le port 80 qui est standard pour les serveurs Web. Ce port est particulièrement beaucoup utilisé dans les programmes légitimes.

Le port 80 est généralement utilisé par les programmes malveillants dans le but d'établir des connexions avec les sites des individus mal intentionnés. L'activité de réseau malveillante est présentée sous la forme d'une navigation Internet réalisée par l'utilisateur. De nombreuses familles de bots et de chevaux de Troie tels que Trojan-PSW.Win32.Zbot, Backdoor.Win32.Sinowal ou diverses versions de Trojan-GameThief.Win32.OnLineGames sollicitent ce port. C'est précisément le port 80 qui est utilisé par les programmes malveillants pour communiquer avec les centres de commande du réseau de zombies.

La deuxième place du classement revient au port inhabituel 8000 utilisé par les applications légitimes HP Web Jetadmin, ShoutCast Server, Dell OpenManage et un grand nombre d'applications développées sur la base de technologies Java RMI. Chaque application utilise ce port selon son propre protocole.

L’enquête de Kaspersky Lab démontre que le port 8000 est utilisé par la famille de programmes malveillants Backdoor.Win32.Hupigon. Cette famille est le fruit des travaux de cybercriminels chinois et elle est probablement la famille qui se développe le plus rapidement parmi toutes les familles jamais identifiées. A la fin de l'année 2008, la collection de Kaspersky Lab comptait plus de 110š000 modifications d'Hupigon.

Pourquoi le port 8000š? La réponse est simpleš: QQ, le service de messagerie instantanée le plus populaire en Chine, fonctionne sur ce port. Les cybercriminels chinois utilisent ce service afin d'administrer les ordinateurs infectés. Il existe également une version d'Hupigon qui utilise le port 8181. La famille Hupigon occupe une place dominante parmi les programmes malveillantsš: près d'un tiers des requêtes de réseau émises par un programme malveillant vers un port unique appartient à Hupigonš!

Un autre port inhabituel, le port 3460, est utilisé dans 7š% des requêtes de réseau des programmes malveillants analysés. Ce port est sollicité principalement par des membres de la famille Backdoor.Win32.Poison, connue également sous le nom Poison Ivy. Les programmes malveillants de cette famille sont des bots employés pour déployer des réseaux de zombies de petite taille (200 postes maximum). Ce programme peut être téléchargé gratuitement depuis le site du développeur, ce qui contribue à son succès. Poison ne permet pas d'envoyer une grande partie de commandes intégrées à plusieurs ordinateurs simultanément et en règle générale, ce programme est utilisé par les individus mal intentionnés débutants. Certains administrateurs de système de petits réseaux utilisent Poison en tant qu'outil pour travailler sur les ordinateurs distants.

Domaines de deuxième niveau sollicités par les programmes malveillants

Concernant le port 80, plus populaire, les statistiques des noms de domaine de deuxième niveau auxquels s'adressent les programmes malveillants qui utilisent ce port sont édifiantes.

 
Répartition des requêtes de programmes malveillants
aux domaines de deuxième niveau

La grande majorité des domaines de deuxième niveau auxquels s'adressent les programmes malveillants appartient aux services DNS chinois.

Près de 40š% des programmes malveillants se connectent aux sous-domaines 3322.org. De quel type de fournisseur s'agit-il et pourquoi attire-t-il les cybercriminelsš?

Le domaine 3322.org appartient au grand projet chinois cn99.com dont le nombre d'utilisateurs dépasse 35 millions d'individus. La popularité de cn99.com en Chine s'explique par l'offre gratuite d'un compte de messagerie électronique et d'un nom de domaine de troisième niveau. Dans le contrat de service qu'acceptent les clients de cn99.com, il est interdit d'utiliser les services proposés pour violer la législation chinoise et les normes juridiques internationales. De plus, au terme de l'accord, le propriétaire de la boîte de messagerie/du nom de domaine doit fournir des coordonnées fiables et actualiser comme il se doit ces informations en cas de modification. Malheureusement, ces dispositions n'empêchent pas les cybercriminels, qui utilisent activement les services de cn99.com, de fournir de fausses coordonnées.

L'examen de la liste des domaines de deuxième niveau permet de vite comprendre pourquoi ils figurent dans le Top 10š: tous les fournisseurs d'accès auxquels appartiennent ces domaines utilisent un service baptisés DDNS (Dynamic Domain Name System).

Popularité des services DDNS chez les cybercriminels

La tâche du service DDNS consiste à trouver facilement les serveurs dotés d'adresses IP dynamiques. Qui cela peut-il intéresserš? Par exemple, les utilisateurs légitimes qui se connectent via une ligne ADSL avec une adresse externe tirée de l'espace des adresses Internet. En général, les fournisseurs d'accès distribuent les adresses IP du modem ADSL au départ d'un groupe d'adresses IP qu'ils possèdent. L'adresse IP change à chaque nouvelle connexion du modem ADSL. Si l'utilisateur ne peut accéder physiquement à son ordinateur et qu'il souhaite s'y connecter à distance, il doit pouvoir connaître d'adresse IP de l'ordinateur à ce moment. Les fournisseurs DDNS permettent d'enregistrer le nom de domaine (par exemple, myhomepc.dyndns.org) et de se connecter à l'ordinateur en affichant le nom de domaine. Certains fabricants de modems ADSL intègrent la prise en charge de DDNS dans le programme d'administration du modem. Quand la configuration est correcte, chaque fois qu'une connexion Internet sera établie, le modem contactera le fournisseur de services DDNS et lui communiquera son adresse IP actuelle. Ensuite, le programme de l'utilisateur qui contacte l'ordinateur distant selon le nom d'hôte envoie une requête DNS pour obtenir l'adresse IP de l'ordinateur appelé myhomepc.dyndns.org. La requête suite la chaîne de serveurs DNS et arrive chez le fournisseur DDNS qui connaît l'adresse IP actuelle de l'ordinateur car il conserve la communication la plus récente du modem ADSL.

Grâce à ce service, les cybercriminels peuvent enregistrer un nouveau domaine rapidement et facilement en tout anonymat et ils peuvent également modifier à tout moment les informations DNS relatives au serveur utilisé.

De plus, les cybercriminels peuvent aussi utiliser des ordinateurs infectés possédant une adresse IP externe afin d'y placer le centre d'administration temporaire du réseau de zombies. Si l'ordinateur est éteint, le cybercriminel peut transférer le centre d'administration, manuellement ou automatiquement, vers n'importe quel autre ordinateur infecté et le centre d'administration reste toujours accessible via le nom de domaine du fournisseur DDNS.

Voilà pourquoi les services DDNS sont tant appréciés des cybercriminels. Selon les estimations de Kaspersky Lab, près de 50š% des domaines contactés par des programmes malveillants appartiennent à des fournisseurs DDNS.

Conclusion

Les types de programmes malveillants les plus divers ont une activité de réseauš: les chevaux de Troie envoient les informations récoltées aux cybercriminels, les vers de réseau tentent de trouver d'autres ordinateurs dans le réseau local et de les infecter, les spam bots diffusent des messages non sollicités, les DDoS bots attaquent les serveurs Internet et les bots communiquent avec les centres d'administration des réseaux de zombies. Les réseaux de zombies et les vers, qui agissent bien souvent sans problème au sein d'une application, possèdent l'activité de réseau la plus marquée. Et c'est pour cela que lors de la découverte d'un ver ou d'un cheval de Troie, il est tout à fait raisonnable d'y trouver une fonction de bot et de constater que l'ordinateur infecté fait partie d'un réseau de zombies. Cela signifie que le trafic de réseau généré par la majorité des programmes malveillants sur Internet appartient aux réseaux de zombies.

L'analyse des statistiques des requêtes de réseau des programmes malveillants et le Top 10 des domaines de deuxième niveau que les programmes malveillants contactent confirment que les cybercriminels chinois ont dominé la scène du développement de programmes malveillants. 29š% des requêtes de réseau de programmes malveillants proviennent de membres de la famille chinoise Hupigon qui utilisent les ports 8000 et 8181 et l'écrasante majorité des domaines de deuxième niveau contactés par les programmes malveillants appartiennent à des services DNS chinois.

Malgré l'existence de la "Grande cybermuraille de Chine" (programme national de filtrage du trafic de réseau), il faut s'attendre à une hausse de l'activité des pirates chinois en 2009. Les programmes développés par les cybercriminels chinois servent avant tout à voler les données d'accès à des jeux en ligne et menacent principalement les joueurs chinois et les amateurs de ces jeux dans d'autres pays. Bien que des modifications globales dans la spécialisation des pirates chinois en 2009 aient été attendues, ces programmes pourraient menacer d'autres utilisateurs car on observe une tendance à l'ajout d'une porte dérobée aux chevaux de Troie qui volent les mots de passe d'accès aux jeux en ligne.

Plus du tiers des requêtes de réseau des programmes malveillants passent par le port 80, standard pour les serveurs Web. En général, quand le programme malveillant se connecte au port 80, il ne se contente pas de télécharger des pages Web mais il établit une connexion avec le centre d'administration du réseau de zombies. Les cybercriminels craignent que tôt ou tard, l'adresse du centre d'administration du réseau de zombies soit découverte par les concurrents ou les autorités judiciaires, ce qui se traduirait par la fermeture du nom de domaine ou du serveur. C'est la raison pour laquelle ils recherchent des moyens pour modifier rapidement les informations DNS relatives au centre d'administration et ils préfèrent utiliser des services Internet qui permettent de conserver l'anonymat. Par conséquent, les services DDNS sont très prisés : les fournisseurs DDNS détiennent près de 50š% des domaines de deuxième niveau contactés par les programmes malveillants et tous les domaines qui figurent dans le Top 10. Il se peut que l'année 2009 soit marquée par le début de la lutte des fournisseurs DDNS contre les clients qui violent les lois. A l'instar de la scission entre les hébergeurs de type RBN et les hébergeurs légitimes, certains services DDNS sont protégés contre les abus.

Si l'on tient compte de la grande popularité des services DDNS auprès des cybercriminels et de la hausse de la capacité de transport des canaux Internet, l'émergence d'une nouvelle activité criminelle axée sur le développement de nouvelles méthodes pour rendre les adresses/les noms de serveurs Web anonymes est à prévoir.

Chaque fois qu'une nouvelle vulnérabilité de réseau est découverte dans Windows, on assiste à l'apparition de plusieurs programmes malveillants qui tentent de trouver des ordinateurs distants vulnérables. Ceci touche également les autres applications qui fonctionnent sur le réseau. Les programmes malveillants qui balaient le réseau créent de nombreuses connexions de réseau connexes. Outre l'utilisation maximum du canal de réseau, ce comportement peut entraîner le débordement du tableau de translation des adresses sur les routeurs bon marché, ce qui pourrait provoquer la perte totale des communications du réseau local avec Internet. La présence d'un ordinateur infecté dans le réseau peut priver les autres de l'accès à Internet. Cette problématique touche déjà les réseaux domestiques où l'accès à Internet s'opère via un seul routeur.

Dans la mesure où l'intérêt manifesté pour les vulnérabilités ne cesse d'augmenter et qu'il est fort probable que 2009 soit marqué par la découverte de nouvelles vulnérabilités de réseau, les utilisateurs de petits réseaux risquent d'être privé d'accès à Internet. Pour se protéger contre cette menace, il faut absolument protéger tous les ordinateurs du réseau local contre des infections par des programmes malveillants.

Pronostics pour 2009

Fin 2007, les chercheurs de Kaspersky Lab présentaient leurs pronostics des menaces pour 2008. Ces estimations concernaientš:

  • Malware 2.0š: développement de la conception de composants partagés dans les programmes malveillants.
  • Outils de dissimulation d'activité et bootkitsš: début des épidémies de programmes utilisant ces technologies.
  • Virus de fichiersš: nouvelle étape dans l'évolution des virus classiquesš; ils deviennent plus complexes et ils utilisent des méthodes d'infection des fichiers utilisées par d'autres catégories de programmes malveillants.
  • Réseaux sociauxš: passage des menaces conceptuelles et des attaques d'essai aux attaques en masse.
  • Menaces mobilesš: augmentation du nombre d'attaques contre les téléphones mobiles et début de la commercialisation de telles attaques.

Heureusement, certains pronostics ne se sont pas complètement vérifié, comme en témoignent les données reprises dans notre rapport pour 2008 (sections "Tendances" et statistiques).

Pour 2009, les menaces qui existent déjà ne vont pas disparaître et elles vont être à l'origine de tous les problèmesš: augmentation du nombre d'attaques contre les jeux en ligne et les réseaux sociaux, sophistication des technologies employées dans les virus et augmentation du nombre de réseaux de zombies, développement de la cybercriminalité en tant qu'activité et que services.

Les chercheurs de Kaspersky Lab se sont par ailleurs intéressés à certaines tendances qui ne sont pas encore évidentes mais qui pourraient avoir une influence significative sur le développement de la cybercriminalité en 2009.

Epidémies mondiales

L'époque des épidémies mondiales est révolue. En 2009, la situation changera à nouveau et nous nous attendons à plusieurs incidents graves qui vont dépasser de loin les incidents des années 2006 à 2008.

Selon les chercheurs de Kaspersky Lab, le monde cybercriminel actuel est entré dans une phase de saturation du marchéš: le nombre d'individus et de groupes est trop élevé et la concurrence fait rage. Bien entendu, la compétition n'est pas une nouveauté mais en général, elle se limitait à des conflits d'intérêts entre deux ou trois groupes dans un secteur très défini. Aujourd'hui, cette concurrence n'est plus locale et elle s'exprime sur la scène internationale. La compétition qui oppose les individus mal intentionnés russes, chinois, brésiliens, ukrainiens et turcs ne se manifeste pas uniquement au niveau des technologies qu'ils utilisent. La concurrence s'exprime également au niveau des commanditaires et des exécuteurs, des meilleurs canaux de récupération, des débouchés et du traitement des données, des ressources pour l'hébergement des programmes et des sites à compromettre, etc.

En outre, 2009 devrait être marquée par une augmentation sensible du nombre de cybercriminels. La crise économique mondiale en est la cause. Suite aux licenciements dans le secteur des technologies de l'information et à l'abandon de projets dans le secteur, de nombreux programmeurs hautement qualifiés vont se retrouver au chômage ou vont devoir trouver des revenus complémentaires. Ces personnes vont être attirées par une activité cybercriminelle et certaines d'entre elles vont prêter attention à ce moyen de gagner de l'argent. Si l'on sait que le niveau de connaissances techniques de ces "recrues" est bien supérieur à celui de la majorité des cybercriminels actuels, la concurrence va atteindre un nouveau sommet.

Les cybercriminels vont donc avoir besoin de plus de victimes. Une lutte sans merci se profile déjà pour chaque millier d'ordinateurs infectés car il n'existe qu'un seul moyen pour survivre sur le marché compétitif de la cybercriminalitéš: infecter un maximum de machines le plus vite possible. Afin d'obtenir un réseau de zombies contenant 100š000 machines, il faut absolument attaquer plusieurs millions d'ordinateurs. Ce qui nous ramène aux épidémies mondiales. Et pour conserver ce réseau de zombies, il faut réaliser de nouvelles attaques à intervalles réguliers. Et nous voici donc confrontés au risque d'épidémies internationales multiples.

Réduction de l'activité des chevaux de Troie de jeu

La prévision de la réduction de l'activité des chevaux de Troie de jeu va, évidemment, à l'encontre de l'avis de la majorité des spécialistes de la lutte contre les virus mais selon Kaspersky Lab, cette réduction va être la conséquence directe de la crise économique et du renforcement de la concurrence entre les cybercriminels.

Au cours des deux dernières années, les chevaux de Troie de jeu ont été le type de programmes malveillants le plus répandu. On les compte par centaines de milliers et ils ont devancé depuis longtemps les anciens chevaux de Troie qui volaient des informations relatives aux cartes de crédit ou aux comptes de systèmes de transactions bancaires en ligne.

Cette suprématie des chevaux de Troie de jeu s'explique non seulement par le fait qu'ils ont fait l'objet de tous les efforts des cybercriminels chinois mais également par le fait qu'il est bien plus difficile de gagner de l'argent via l'utilisation de données de cartes de crédit volées ou de compte de transactions bancaires en ligne que par le passé et la concurrence est particulièrement rude, ce qui a entraîné une réduction sensible des revenus potentiels pour les cybercriminels.

Les auteurs de virus de Russie et d'Europe de l'Est qui pratiquaient ce type d'activité par le passé ont soit disparu ou ont changé d'activité et se consacrent à la création et à la diffusion de logiciels publicitaires et à la diffusion de faux logiciels antivirus.

Les chevaux de Troie de jeu sont une manifestation du savoir-faire des Chinois et une prérogative des cybercriminels asiatiques. Mais en raison de la simplicité de création de ces programmes, du nombre important de victimes potentielles et d'autres facteurs désignés sous le terme de "seuil d'entrée dans le marché", ce marche est saturé. Le revenu des personnes qui "gagnent" leur vie en volant les actifs virtuels de joueurs n'est plus assez important. (Une situation similaire pour les chevaux de Troie de banque avait provoqué en son temps une réduction du nombre de nouveaux programmes de ce comportement). Il y a trois ans, un tel revenu aurait satisfait les cybercriminels mais la croissance économique de la Chine et la hausse du niveau de vie de la population ont développé l'appétit des individus mal intentionnés.

Le revenu est faible, la concurrence est forte, les éditeurs de logiciels antivirus ont appris à lutter contre la multitude de programmes malveillants de jeux, les joueurs sont mieux informés, les éditeurs de jeux ont introduit des mesures pour arrêter les opérations illégales avec les comptes et les actifs virtuels volés... Bien qu'il soit trop tôt pour évoquer la disparition totale du problème dans un avenir proche, nous pouvons malgré tout nous attendre à une réduction du nombre de nouveaux programmes malveillants de jeux et du nombre de groupes criminels spécialisés dans le développement de tels programmes.

Malware 2.5

Un nouveau concept vient remplacer Malware 2.0. Le concept de fonctionnement de réseaux de zombies gigantesques distribués, inventé par des pirates russes et exprimé dans des programmes malveillants tels que Rustock.C, Sinowal (bootkit) et quelques autres) a démontré sa grande fiabilité et efficacité.

Voici les principales caractéristiques du concept Malware 2.5š:

  • Absence d'un centre d'administration stationnaire pour le réseau de zombies. Il s'agit du "réseau de zombie nomade" décrit en détail dans l’étude consacrée au bootkit par Kaspersky Lab. Le centre d'administration du réseau de zombies est soit déplacé en permanence d'une adresse IP ou d'un serveur à un autre ou cesse d'exister pendant un certain temps. Mise en place d'un système de création d'adresses aléatoires du centre d'administration. Les individus mal intentionnés règlent ainsi le problème de la découverte et de la désactivation du C&C et peuvent choisir l'endroit où il sera installé.
  • Utilisation d'algorithmes de cryptographie solides pour l'interaction entre le C&C et les machines du réseau de zombies. Même s'ils accèdent au C&C ou s'ils interceptent les données transmises, les experts ne peuvent intercepter l'administration du réseau de zombies qui fonctionne sur la base de clés de chiffrement connues uniquement des propriétaires du réseau de zombies.
  • Utilisation de centres d'administration universels pour divers réseaux de zombies. Développement de l'idée du "code universel" exploitée dans le programme malveillant Zbotš: les programmes malveillants de divers auteurs peuvent communiquer avec le même type de centre d'administration. A l'heure actuelle, nous observons une tendance à la réalisation de l'administration éventuelle simultanée de plusieurs réseaux de zombies depuis un C&C.

Ces technologies sont étroitement liées au domaine des calculs distribués et à la création de systèmes fonctionnant sous une charge importante avec d'importants volumes de données (architecture HighLoad). Les systèmes de recherche sont des exemples de solutions de ce style appliqués dans la vie de tous les jours. Elles constituent également la base de la technologie à la mode du "cloud computing" qui est utilisée, entre autres, par plusieurs éditeurs de logiciels antivirus.

C'est précisément dans le domaine de la création de systèmes distribués hautement fiables que les chercheurs de Kaspersky Lab attendent une augmentation de la concurrence entre les groupes cybercriminels. Les cybercriminels qui pourront créer leur propre système vont définir le niveau global de menaces et des problèmes qu'elles vont poser à l'avenir. Les script-kiddies sont remplacés par des experts sérieux capables de créer et de maintenir le concept Malware 2.5.

Hameçonnage/escroquerie

L'hameçonnage/les escroqueries sont un autre domaine influencé par la crise économique mondiale. Ces activités vont prendre de l'ampleur sur Internet.

Tout d'abord, en raison de la crise, les Internautes vont réagir plus nerveusement à tout événement en rapport avec les systèmes de paiement, les systèmes de transactions bancaires en ligne ou les porte-monnaie électroniques. Ce contexte où les banques disparaissent, changent de propriétaires ou éprouvent des difficultés à payer des dividendes est un terrain fertile pour de nouvelles possibilités d'attaques contre les clients.

Deuxièmement, dans la mesure où les programmes malveillants d'aujourd'hui ont besoin de plus en plus de ressources pour leur développement, leur diffusion et leur utilisation, de nombreux cybercriminels choisissent les méthodes d'attaque les plus simples, les plus économiques et les plus grossières. L'hameçonnage http://ru.wikipedia.org/wiki/Phishing pourrait devenir une des solutions les plus intéressantes pour les cybercriminels.

La concurrence entre les auteurs d'attaques d'hameçonnage augmente. La simple reproduction du site d'une banque ne suffit plus pour tromper les utilisateurs. Les attaques vont être plus rusées et intenses.

Dans l'ensemble, il va y avoir moins d'argent sur Internet en raison de la crise. Surtout si les problèmes graves touchent les systèmes de paiement électroniques qui ne pourraient pas être en mesure de transformer l'argent virtuel en argent réel.

Différenciation selon les plateformes

La différenciation des programmes touche toutes les plateformes et systèmes d'exploitation différents de Microsoft Windows sans exception. Ce processus est également une conséquence du renforcement de la concurrence entre les cybercriminels au niveau technologique et de la lutte active pour l'augmentation du nombre d'ordinateurs infectés.

Un des résultats les plus évidents de ce processus est le déplacement des menaces vers des secteurs peu touchés. Il s'agit avant tout de Mac OS et des plateformes mobiles utilisées avant principalement à titre d'expérience. De nos jours, la part de ces plateformes sur le marché est devenue suffisamment importante pour susciter l'intérêt des cybercriminels. Qui plus est, il reste de nombreux problèmes de sécurité sans solution sur ces plateformes et les utilisateurs ne sont pas prêts à faire face à des attaques de programmes malveillants.

Source:
Kaspersky Lab
Related links
Analysis
Bulletin de Kaspersky sur la sécurité en 2012 Cyberarme
Bulletin de Kaspersky sur la sécurité en 2012 Principales statistiques pour 2012
Bulletin de Kaspersky sur la securite 2012. Developpement des menaces en 2012
Développement des menaces informatiques au premier trimestre 2012
Bulletin de Kaspersky sur la sécurité 2011. Développement des menaces en 2011
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com