Qu’est-ce qui rend une nouvelle souche de logiciels malveillants plus dangereuse ou remarquable qu’une autre ? S’agit-il de la simple capacité et de l’ensemble de fonctionnalités du nouveau logiciel malveillant, ou ces qualités n’ont-elles aucun sens si l’on ne tient pas compte également des compétences, des intentions et de l’ingéniosité de la personne qui l’utilise ? La plupart des experts diraient probablement qu’il est important de considérer l’attribution dans la mesure où elle est connaissable, mais il est remarquable de voir à quel point les entreprises qui publient régulièrement des rapports sur les dernières innovations criminelles font rarement un effort supplémentaire pour ajouter du contexte sur les escrocs apparemment impliqués dans le déploiement de ces outils.
Peut-être qu’avec certains nouveaux échantillons de logiciels malveillants, les données d’attribution des acteurs associées sont trop peu concluantes pour être publiées, en particulier lorsque des avocats d’entreprise sont impliqués et que ces résultats sont juxtaposés à des faits concernant un nouvel échantillon de code qui peuvent être démontrés de manière empirique. Peut-être que dans d’autres cas, la société publiant la recherche en privé craint que la diffusion de ses conclusions sur l’attribution ne pousse les gens à les prendre ou à prendre la nouvelle menace moins au sérieux ?
Je doute que beaucoup de ceux qui connaissent mes reportages aient du mal à dire d’où je viens sur ce sujet, ce qui explique pourquoi je suis fasciné par un peu de recherche sur l’acteur derrière un nouvel échantillon de malware qui a récemment reçu pas mal de médias attention. Cette menace, connue sous le nom de «Rombertik » et « Attrapeur de carbone”, est un logiciel criminel financier qui a attiré l’attention des médias en raison d’une caractéristique curieuse : il a apparemment été conçu pour écraser des sections clés du disque dur, rendant le système hôte impossible à démarrer.
Les nouvelles sur les manières destructrices de Rombertik étaient publié pour la première fois par Cisco, qui postulait que la fonctionnalité était un mécanisme de défense intégré au malware pour frustrer les chercheurs en sécurité qui pourraient essayer de percer ses secrets. D’autres sociétés de sécurité ont publié des théories concurrentes sur l’objectif de la composante destructrice du logiciel malveillant. Certains ont fait valoir que c’était la façon dont l’auteur du logiciel malveillant faisait respecter les accords de licence avec ses clients : ceux qui essayaient d’utiliser le logiciel malveillant sur des adresses Web ou des domaines qui n’étaient pas autorisés dans le cadre de la vente d’origine seraient considérés comme en violation de l’accord du logiciel — leur logiciel malveillant infrastructure ainsi exposée à un régime (criminel) d’application du droit d’auteur des plus impitoyables.
Incroyablement, aucune de ces entreprises n’a pris la peine d’examiner de plus près les indices laissés assez maladroitement par la personne apparemment responsable de la diffusion l’échantillon de malware qui a incité Cisco à bloguer sur Rombertik en premier lieu. S’ils l’avaient fait, ils auraient peut-être découvert que cette nouvelle souche de malware ultra-sophistiquée a été découverte précisément parce qu’elle était utilisée par un acteur relativement peu sophistiqué qui semble constituer une menace plus importante pour lui-même que pour les autres.
MENACE PERSISTANTE AFRICAINE
Autant j’aimerais m’attribuer le mérite de cette recherche, autant cette gloire appartient à la communauté qui a vu le jour autour ThreatConnectune entreprise spécialisée dans l’attribution des menaces avec un accent particulier sur le crowdsourcing de données brutes sur les acteurs au sein d’une large communauté d’utilisateurs.
Dans ce cas, ThreatConnect a creusé plus profondément dans centozos[dot]org[dot]dans, le serveur de contrôle utilisé dans l’exemple Rombertik présenté dans le rapport original de Cisco. Les enregistrements d’enregistrement du site Web pour ce domaine répertorient une personne à Lagos, au Nigeria, qui a utilisé l’adresse e-mail [email protected]. Pour ceux qui ne connaissent pas Dispostable, il s’agit d’un service de messagerie gratuit et jetable qui permet à quiconque d’envoyer et de recevoir des e-mails sans fournir de mot de passe pour le compte. Bien que ce type de service évite à l’utilisateur d’avoir à se souvenir de son mot de passe, il permet également à toute personne connaissant le nom d’utilisateur de lire tout le courrier associé à ce compte.
La boîte de réception de KallySky sur Dispostable.
En examinant les messages dans ce [email protected] compte révèle que le titulaire du compte a enregistré le domaine centozos[dot]org[dot]avec le registraire Internet.bset qu’il a demandé à être mis en copie sur une autre adresse e-mail, « [email protected]”. ThreatConnect a trouvé la même chose [email protected] adresse e-mail utilisée pour enregistrer un certain nombre d’autres domaines associés à la distribution de logiciels malveillants, y compris kallygourou[dot]dans, nimoru[dot]com, directxex[dot]rapporteret norqren[dot]com.
L’adresse e-mail [email protected] est lié à un compte Facebook pour un trentenaire Kayode Ogundokun de Lagos, au Nigeria, qui maintient une solide présence en ligne à partir de ses comptes Facebook personnels et « professionnels », Blogger, LinkedIn, Twitter et Youtube », a écrit ThreatConnect.
« En fait, Ogundokun a très peu fait pour sécurité opérationnelle (OPSEC). Ses efforts pour couvrir ses traces ont été minimes, voire inexistants », a poursuivi ThreatConnect. « Les compétences d’Ogundokun semblent se limiter à l’utilisation de RAT et de botnets de base dans le cadre d’attaques par courrier électronique et est principalement motivé par le gain financier plutôt que par l’espionnage ou à des fins idéologiques. [We assess] qu’Ogundokun a probablement acheté une nouvelle version de Carbon Grabber à un auteur d’outils beaucoup plus compétent et sophistiqué, où l’auteur l’a ensuite concédé sous licence à un opérateur moins compétent. Son échantillon particulier de Carbon Grabber a simplement été pris dans une histoire qui fait la une des journaux.
VOUS RÉVÉLER LES SECRETS INTERNET
Pendant plusieurs années jusqu’à très récemment, Kally/Koyode a maintenu kallysky.comqui grâce à archive.org nous pouvons encore revoir dans toute sa splendeur. Dans ce document, le site de Kally – qui affiche avec audace et confiance le message de la bannière « Révéler les secrets d’Internet pour vous » – renvoie à des dizaines de didacticiels vidéo qu’il a produits et explique comment utiliser divers outils malveillants.
![Une des innombrables pages archivées de Kallysky[dot]com](https://breachtrace.com/wp-content/uploads/2022/02/kallysecrets-580x480.png)
Une des innombrables pages archivées de Kallysky[dot]com
« Il prétend offrir des services pour Citadel Bot, Cybergate RAT, Darkcomet RAT avec des services Web cpanel, ‘Fully Undetectable’ par anti-virus ainsi que d’autres capacités telles que des classeurs et des usurpateurs d’extension de fichier, le tout à des fins éducatives, bien sûr, » Remarques sur ThreatConnect. « Il fournit également son numéro de téléphone, BlackBerry Pin et le même [email protected][dot]com adresse e-mail que nous avons observée précédemment avec le [email protected][dot]com norqren[dot]e-mail d’expiration du domaine com.
Dans une vidéo d’avril 2014, Ogundokun propose un tutoriel Carbon Form Grabber / Carbon Grabber. Au début de la vidéo, il inclut son [email protected][dot]com coordonnées.
Malheureusement, Kally n’a pas répondu aux demandes d’interview sur son travail envoyées à son yahoo.com adresse. Mais son cas et les premiers articles de l’industrie sur Rombertik illustrent une tendance au sein de l’industrie de la sécurité qui est devenue trop courante : les rapports sur les menaces qui manquent de contexte – en particulier sur l’attribution qui est si facilement détectable, a observé ThreatConnect.
« Alors que la nouvelle de Rombertik se répandait, nous avons vu des reportages à sensation qui utilisaient des termes accrocheurs tels que » terrifiant « , « mortel » et « malware kamikaze » dominent les gros titres de l’actualité de la sécurité « , a écrit la société. « Maintenant, si nous considérons un instant les heures de travail et la redéfinition des priorités ad hoc pour de nombreuses équipes de sécurité dans le monde qui ont été interrogées ou chargées de déterminer si leur organisation était à risque pour Rombertik – les organisations avaient-elles également eu des renseignements sur la sophistication technique et opérationnelle rudimentaire d’Ogundokun , ils auraient vu une comparaison plus claire des capacités fonctionnelles du Rombertik/Carbon Grabber par rapport à l’intention de l’opérateur (Ogundokun) et aurait pu déterminer plus efficacement le niveau de risque. »