Lorsque vous envisagez de cambrioler la cyber-mafia russe, vous feriez mieux de vous assurer que vous avez l’élément de surprise, que vous pouvez faire une escapade propre et que vous comprenez comment votre cible va réagir. L’article d’aujourd’hui présente une interview de deux experts en sécurité qui ont aidé à planifier et à exécuter l’effort mondial de collaboration de la semaine dernière pour détourner le Botnet Gameover Zeusune machine criminelle extrêmement résistante et sophistiquée qui a aidé un groupe d’élite de voleurs à voler plus de 100 millions de dollars à des banques, des entreprises et des consommateurs du monde entier.
Infections Gameover le 4 juin 2014. Source : Shadowserver.org
Aucun des experts avec qui j’ai parlé n’a souhaité être identifié pour cette histoire, invoquant le manque d’autorisation de leurs employeurs et le désir de rester à l’écart des escrocs incommodés par l’action. Pour des raisons évidentes, ils étaient également réticents à partager des détails sur les faiblesses exactes qui ont été utilisées pour détourner le botnet, se concentrant plutôt sur la planification et la préparation de cet effort.
GAMEOVER ZEUS PRIMER
Un examen rapide du fonctionnement de Gameover devrait aider les lecteurs à tirer le meilleur parti de l’interview. Dans les botnets traditionnels, les PC infectés se rapportent à un serveur central et sont contrôlés par celui-ci. Mais cette architecture rend ces botnets vulnérables aux perturbations ou aux prises de contrôle si les autorités ou les experts en sécurité peuvent accéder au serveur de contrôle.
Gameover, quant à lui, est un botnet peer-to-peer (P2P) conçu comme un ensemble de petits réseaux distincts mais reliés de manière décentralisée. Les PC individuels infectés par Gameover sont appelés « pairs ». Au-dessus des pairs se trouvent un certain nombre de systèmes infectés légèrement plus puissants et importants qui se voient attribuer des rôles de «nœuds proxy», ce qui signifie qu’ils ont été sélectionnés parmi les pairs pour servir de points de relais pour les commandes provenant des opérateurs de botnet Gameover et de conduits pour le chiffrement. données volées des systèmes infectés.
La structure de base du réseau du botnet Gameover. Source : FBI
Le code du botnet Gameover comprend également un mécanisme de sécurité qui peut être invoqué si le système de communication P2P du botnet échoue, que l’échec soit le résultat d’une mise à jour défectueuse d’un logiciel malveillant ou en raison d’un effort de retrait des chercheurs/des forces de l’ordre. Cette sécurité intégrée est un composant d’algorithme de génération de domaine (DGA) qui génère une liste de 1 000 noms de domaine chaque semaine (domaines charabia qui sont essentiellement de longs méli-mélo de lettres) combinés avec l’un des six domaines de premier niveau ; .com, .net, .org, .biz, .info et .ru. Dans le cas où les systèmes Gameover infectés ne peuvent pas obtenir de nouvelles instructions de leurs pairs, le code demande aux systèmes bottés de rechercher des domaines dans la dernière liste de 1 000 domaines générée par la DGA jusqu’à ce qu’il trouve un site avec de nouvelles instructions.
DES CENTAINES DE ‘WEB INJECTS’
Le malware Gameover a été spécialement conçu pour vaincre l’authentification à deux facteurs utilisée par de nombreuses banques. Il l’a fait en utilisant une énorme collection de scripts personnalisés appelés « Web injects » qui peuvent injecter du contenu personnalisé dans un navigateur Web lorsque la victime navigue sur certains sites, comme la page de connexion d’une banque spécifique. Les injections Web sont également utilisées pour inviter la victime à entrer des informations personnelles supplémentaires lorsqu’elle se connecte à un site de confiance. Un exemple de ce type d’inject Web peut être vu dans la vidéo ci-dessous, qui montre un inject conçu pour les clients de Citibank.
L’un des injections Web les plus courantes utilisées par ZeuS (y compris la variante Gameover discutée dans cet article) interceptera le code de jeton à usage unique utilisé par de nombreuses banques comme deuxième facteur d’authentification, puis redirigera la victime vers une fausse page indiquant faussement que la banque le site est temporairement indisponible pour maintenance ; Pendant ce temps, les voleurs utilisent le nom d’utilisateur, le mot de passe et le code à usage unique volé de la victime pour se connecter et retirer de l’argent du compte.
Selon Groupe de sécurité du SCRS, une société de sécurité danoise, les escrocs contrôlant Gameover disposaient d’environ 1 500 injections Web uniques conçues sur mesure pour manipuler l’affichage de plus de 700 sites Web d’institutions financières dans le monde. Le SCRS a partagé cette liste complète, disponible ici en PDF et ici en CSV. Une chose que vous remarquerez est l’absence flagrante et totale de banques en Russie et dans les anciens pays satellites soviétiques.
PRÊT JOUEUR UN
Dans l’interview ci-dessous, cet auteur est « MMA » ; les personnes interrogées, nous les appellerons « Ready Player 1 » et « Ready Player 2 », ou RP1 et RP2 en abrégé.
MMA: Pour que ce démontage fonctionne, vous deviez…
RP1 : Ce n’est pas un démontage. C’est une reprise. Nous prenons le contrôle du botnet.
MMA: Droit. Alors, comment avez-vous fait pour reprendre la partie P2P de Gameover ?
RP2: Nous ne voulons pas en divulguer trop car il est théoriquement possible qu’ils reprennent le contrôle. Mais fondamentalement, vous devez en quelque sorte manipuler la liste des pairs et rediriger le trafic vers vous-même. C’est ce que nous faisons sur la couche de nœud proxy et sur la couche P2P. Et en ce moment, nous contrôlons cela. le [bad guys] ne peut plus propager les mises à jour ou le contrôler.
MMA: Donc, vous avez dû perturber le réseau P2P, puis retirer les noms de domaine générés par la DGA de l’image, n’est-ce pas ?
RP2 : Oui, la DGA est le canal de repli. Donc, juste pour être sûr, chaque bot se connecte environ deux fois par semaine et extrait une nouvelle liste de la DGA. Toutes les attaques contre les réseaux P2P sont inutiles si vous ne vous occupez pas également de la DGA.
MMA: J’ai remarqué que le domaine de premier niveau russe (TLD) .ru faisait partie des TLD dont l’effort de prise de contrôle devait obtenir la coopération. Était-ce difficile ?
RP1 : Dot-ru est toujours un défi. Mais dans la communauté DNS… les gens se connaissent et cela a été utile.
MMA: Avez-vous déjà vu un cas dans lequel les botmasters de Gameover Zeus ont invoqué le composant DGA après avoir perdu le contrôle de leur botnet ?
RP1 : Cela s’est produit à quelques reprises dans le passé. À un moment donné, il y avait une version cassée de Gameover, et ils ont enregistré quelques-uns des domaines dans la liste DGA. Il y avait un bogue dans la version 2 qui les empêchait de la mettre à jour via P2P. Je ne sais pas si le principal responsable du botnet était en vacances ce jour-là ou quoi, mais quelque chose n’a pas fonctionné correctement et ils sont restés là pendant un certain temps en ne s’appuyant que sur la DGA.
MMA: Ce n’est pas la première tentative de rachat de Gameover Zeus. Les efforts précédents n’ont pas si bien fonctionné. Qu’est-ce qui vous fait penser que ce rachat va durer ?
RP1: Lors des précédentes attaques d’empoisonnement P2P contre ce botnet, nous ne l’avons pas entièrement compris. La première attaque contre lui, nous n’étions pas au courant de la couche proxy, et que les bots étaient toujours capables de communiquer avec le back-end [controller] à travers cette couche. Mais nous étudions ce botnet depuis deux ans et demi maintenant, nous le connaissons donc assez bien.
MMA: Mais ils ont apporté des améliorations à chaque tentative de prise de contrôle, n’est-ce pas ?
RP1 : Défendre un système aussi complexe que celui-ci est très difficile. La complexité est l’ennemie de la sécurité. Je n’entrerai pas dans les détails, mais disons simplement qu’il y a des exemples dans le code où ils ont clairement réagi de manière excessive et ont introduit des fonctionnalités que nous pourrions utiliser plus tard contre eux. Les gars qui ont construit cela sont probablement les gars d’élite dans le monde de la cybercriminalité, et ils ont donc vraiment essayé de construire un botnet résistant aux prises de contrôle. Mais les gars de Zeus n’ont pas bien compris. Ils étaient assez proches de cela, mais ils n’avaient pas tout à fait raison.
MMA: Eh bien, une critique de ces prises de contrôle et de ces démontages est que les méchants ne s’en vont pas, ils se mettent juste en colère, apprennent de leurs erreurs et construisent une meilleure souricière la prochaine fois. Ces actions ne font-elles pas que pousser l’ours et les encourager à innover de manière à nous apporter des menaces bien plus puissantes ?
RP1 : C’est certainement ce que nous avons vu dans le passé. Ils ont étudié nos attaques et ce que les gens ont publié à propos de ces attaques, et ils ont renforcé le botnet. Il faut un scientifique ou un chercheur qualifié pour construire un réseau P2P vraiment résilient, et ces types sont des criminels. Ils l’ont construit pour voler, et ils n’ont pas de ressources infinies pour étudier l’état de l’art, et c’est pourquoi ils font des erreurs.
MMA: Avez-vous été surpris par quoi que ce soit dans cette prise de contrôle ? Il s’est passé quelque chose auquel vous ne vous attendiez pas ?
RP1 : Il peut toujours y avoir des surprises. Mais j’ai été un peu surpris qu’ils n’aient pas riposté. Nous étions préparés à cela. Vous devez vous préparer à l’inattendu, mais cela ne s’est pas produit dans ce cas.
MMA: Qu’avez-vous remarqué maintenant que vous contrôlez ce botnet ?
RP1 : Ils étaient très actifs dans son utilisation. Vous avez entendu parler de cryptolocker. Ils avaient une infrastructure très professionnelle mise en place pour que la plupart de ces choses soient automatisées. La maintenance du botnet était en grande partie automatisée et ils ont également travaillé dur pour maintenir le nombre de machines infectées à un niveau élevé au fil du temps. Afin de rester dans le jeu, ils devaient réinfecter de nouvelles machines tout le temps. Et ils l’ont fait avec des campagnes de spam. C’était une organisation très professionnelle.
MMA: D’accord, ils ont principalement utilisé Cutwail pour diffuser Gameover, n’est-ce pas ?
RP2 : Correct, et il n’y a presque pas eu de spam Cutwail depuis vendredi dernier.
MMA: Alors, de votre point de vue, comment les gars de Gameover ont-ils utilisé le composant de vol de données de ce botnet, mis à part les attaques financières bien connues et les prises de contrôle de compte qui leur auraient rapporté plus de 100 millions de dollars ?
RP1 : Il s’agissait d’un botnet de collecte d’informations. Tout le monde entend Zeus et pense automatiquement à un cheval de Troie bancaire. Mais ils récoltaient plus que cela.
MMA: Avez-vous tous vu des signes que les gars qui dirigeaient ce botnet cherchaient des choses sur des machines infectées qui allaient au-delà des données financières ?
RP1 : J’en ai vu, oui, mais je ne peux pas vraiment en parler. Ils recherchaient certainement des informations confidentielles dans certains cas.
MMA: Donc, l’attaque contre Gameover a commencé à la fin de la semaine dernière, mais combien de temps s’est-il écoulé avant que vous ayez l’impression d’avoir le contrôle, de sorte que les botmasters ne puissent pas le récupérer.
RP1 : Les attaques contre les réseaux P2P prennent généralement un certain temps, en fonction de l’implémentation spécifique du protocole. Et à un moment donné, vous possédez une masse critique, puis c’est sous votre contrôle. Mais il nous est difficile de dire quand cela s’est produit.
MMA: Pourquoi ça?
RP1 : Ce n’est pas anodin de surveiller ces choses. Vous n’avez pas de visibilité sur l’ensemble du botnet. Votre vue peut être limitée, mais si vous ne voyez aucun changement sur une certaine période de temps, vous pouvez être sûr que le botnet est stable.
Jusqu’à présent, la reprise semble se maintenir. Selon RP1 et RP2, un certain nombre de FAI dans le monde ont commencé à notifier les clients concernés et à essayer d’aider au processus de nettoyage. Pour l’instant, le nombre de nouvelles infections de Gameover Zeus est tombé à zéro, selon Sécurité Heimdalune société de sécurité danoise.