Perdu dans les annales des publicités campy des années 1980 est une série d’annonces qui comportait des scènes improbables entre deux jeunes (généralement du sexe opposé) qui provoquaient toujours d’une manière ou d’une autre la collision par inadvertance du beurre de cacahuète et du chocolat. Après l’accident, l’un se plaignait : « Hé, tu as du chocolat dans mon beurre de cacahuète ! », et l’autre criait : « Tu as ton beurre de cacahuète dans mon chocolat ! Les jeunes goûteraient alors le produit de leur heureux accident et seraient étonnés de découvrir que quelqu’un avait déjà combiné les deux saveurs en une friandise sucrée et salée disponible dans le commerce.
Il se peut que l’industrie de la sécurité Internet attende depuis longtemps son propre « moment Reese ». De nombreux experts en sécurité qui ont commencé à analyser les logiciels malveillants et à suivre la cybercriminalité traditionnelle sont récemment passés à enquêter sur les logiciels malveillants et les attaques associées aux incidents dits de menace persistante avancée (APT). Le premier se concentre sur le vol de données financières qui peuvent être utilisées pour soutirer rapidement de l’argent aux victimes ; ce dernier fait référence à des attaques souvent prolongées impliquant une recherche d’informations plus stratégiques, telles que la propriété intellectuelle, les secrets commerciaux et les données liées à la sécurité et à la défense nationales.
Les experts imprégnés des deux domaines semblent convenir qu’il y a peu de chevauchement entre les deux domaines, ni dans les outils que les deux groupes d’attaquants utilisent, ni dans leurs méthodes, ni dans leurs motivations ou récompenses. Néanmoins, j’ai entendu certains de ces mêmes experts remarquer que les cyber-voleurs traditionnels pourraient considérablement augmenter leur fortune s’ils prenaient seulement le temps de mieux comprendre la pleine valeur des PC qui sont piégés dans leurs botnets.
Dans un tel avenir, les pirates informatiques nationalistes chinois, par exemple, pourraient éviter de passer des semaines ou des mois à essayer de s’introduire dans les entreprises du Fortune 500 en utilisant des e-mails soigneusement ciblés ou des vulnérabilités logicielles zero-day ; au lieu de cela, ils pourraient simplement acheter l’accès aux PC de ces entreprises qui sont déjà sous le contrôle de groupes de pirates traditionnels.
De temps en temps, des preuves font surface pour suggérer que des ponts entre ces deux mondes disparates sont en construction. Le mois dernier, j’ai eu l’occasion de scruter un botnet de plus de 3 400 PC, la plupart aux États-Unis. Les systèmes ont été infectés par une nouvelle variante du cheval de Troie Citadel, une émanation du cheval de Troie ZeuS dont la caractéristique principale est une communauté d’utilisateurs qui interagissent les uns avec les autres dans une sorte de réseau social en ligne. Ce botnet a été utilisé pour mener des cybercasses contre plusieurs victimes, mais c’est un curieux ensemble de scripts conçus pour s’exécuter sur chaque PC infecté qui a attiré mon attention.
Les ordinateurs infectés par des variantes de ZeuS relaient généralement non seulement les données de mot de passe, mais également des informations de base sur le PC victime, y compris la version du système d’exploitation, le navigateur par défaut, l’heure du système et le nom de la machine que l’utilisateur victime a choisi lors de l’installation du système d’exploitation. Mais cette version de Citadel recherchait beaucoup plus d’informations et demandait à tous les PC infectés de relayer la sortie de plusieurs outils de diagnostic réseau conçus pour aider à cartographier un réseau local.
Les hôtes infectés par cette version de Citadel ont été invités à exécuter plusieurs variantes de la commande « net view », qui affiche une liste de domaines, d’ordinateurs et de ressources partagés par des systèmes sur le réseau local du PC hôte. Les machines piratées ont également été obligées d’exécuter la commande « osql -L », qui produit une liste de serveurs de bases de données pouvant être présents sur le réseau. De plus, les PC compromis ont été invités à exécuter l’instruction de ligne de commande Windows « ipconfig /all », qui fournit une mine de données sur les adresses Internet attribuées aux différents composants du réseau local.
Une capture d’écran du panneau Citadel. Cette page montre la répartition des outils antivirus installés sur les PC infectés.
D’autres commandes de diagnostic exécutées sur chaque machine cherchaient à vider la liste des utilisateurs et des groupes Windows sur le réseau, ainsi que la page d’accueil du navigateur par défaut de la victime (ce dernier est intéressant car de nombreuses organisations configurent les systèmes internes par défaut sur la page Intranet de l’entreprise) .
Il se pourrait bien que les malfaiteurs derrière ce botnet aient simplement voulu couvrir leurs bases, au cas où le besoin se ferait sentir d’identifier les comptes administrateurs ou les utilisateurs les plus susceptibles d’avoir accès à des informations financières sensibles. Et, bien sûr, les malfaiteurs ayant un contrôle total sur les systèmes infectés peuvent toujours exécuter ces commandes manuellement. Mais il est rare de trouver des exemples de personnes impliquées dans la cybercriminalité traditionnelle qui souhaitent collecter par défaut ces informations à partir d’autant de systèmes infectés, selon Dimitri Alperovitchl’un des experts susmentionnés de la cybercriminalité en Europe de l’Est qui est passé au suivi des menaces APT il y a quelques années.
Alperovitch, co-fondateur de FouleStrike, une startup de sécurité axée sur l’identification des attaques APT et des victimes, a qualifié le développement de « troublant ». Alperovitch a déclaré que les pirates à l’origine de cette version de Citadel essaient peut-être de déterminer qui sont exactement les victimes – en tant que précurseur de la vente d’accès à ces machines.
« Beaucoup de ces techniques sont exactement ce que les gars de l’APT utilisent pour cartographier l’organisation des victimes une fois qu’ils y ont accès », a-t-il déclaré.
Si les attaquants d’APT et les malfaiteurs se concentrant sur la fraude bancaire en ligne forment une alliance parfaite, pourquoi ne voyons-nous pas plus de signes d’interaction entre ces deux communautés ? Alperovitch pense que c’est parce qu’il n’y a pas beaucoup de domaines où ces deux mondes se chevauchent.
« Cela m’a toujours étonné que cela ne se produise pas, et je me suis demandé pourquoi c’était le cas pendant un certain nombre d’années, et j’en suis venu à réaliser que la raison en est que ces deux communautés – celles qui font des intrusions à des fins d’espionnage et de cybercriminalité – sont si éloignés et ne se parlent pas vraiment ou ne savent pas comment se connecter », a-t-il déclaré. « Si vous êtes un gars spécialisé dans les retraits bancaires, comment trouvez-vous quelqu’un qui s’intéresse aux schémas des avions de chasse F-35 ? Ce n’est pas si facile. »
Alperovitch a déclaré avoir vu des groupes basés sur APT utiliser occasionnellement des outils de cybercriminalité financière comme ZeuS, mais dans ces cas, il semble que les attaquants étaient soit paresseux, soit essayaient de conserver les ressources.
« C’est juste la nature de la commodité, car des outils comme ZeuS vous permettent de construire [the malware] vous-même et utilisez-le comme un système de livraison de logiciels malveillants de première étape, au lieu de graver votre propre outil personnalisé qui est beaucoup plus précieux pour vous », a-t-il déclaré. «Mais juste parce que ces [APT actors] utilisaient ZeuS ne signifie pas qu’ils collaboraient avec un groupe cybercriminel. Je n’écarte pas la possibilité qu’un intermédiaire puisse potentiellement faire le pont entre ces deux groupes, mais il faudrait quelqu’un dans le monde cybercriminel ayant beaucoup plus de relations avec les agences de renseignement pour en profiter.