[ad_1]

le Département américain de la justice devrait annoncer aujourd’hui une opération internationale d’application de la loi visant à prendre le contrôle du botnet Gameover ZeuS, un réseau tentaculaire de pirates Microsoft Windows ordinateurs qui infectent actuellement entre 500 000 et 1 million de systèmes compromis dans le monde. Les experts disent que les PC infectés par Gameover sont récoltés pour des données financières et personnelles sensibles, et loués à un cadre d’élite de pirates pour être utilisés dans des attaques d’extorsion en ligne, du spam et d’autres stratagèmes illicites pour gagner de l’argent.

Ce graphique, datant de 2012, montre la nature décentralisée de la connectivité réseau P2P de 23 196 PC infectés par Gameover.  Image : Dell Secure Works

Ce graphique, datant de 2012, montre la nature décentralisée de la connectivité réseau P2P de 23 196 PC infectés par Gameover. Image : Dell Secure Works

L’attaque sournoise sur Gameover, surnommée « Opération Tovar« , a commencé à la fin de la semaine dernière et est un effort de collaboration des enquêteurs du FBI, Europolet le National Crime Agency du Royaume-Uni; entreprises de sécurité FouleStrike, Dell Secure Works, Symantec, Trend Micro et McAfee; et des chercheurs universitaires de Université VU d’Amsterdam et Université de la Sarre en Allemagne. La nouvelle de l’action a été révélée pour la première fois dans un article de blog publié brièvement vendredi par McAfee, mais cet article a été supprimé quelques heures après sa mise en ligne.

Gameover est basé sur le code du Cheval de Troie ZeuS, une tristement célèbre famille de logiciels malveillants qui a été utilisée dans d’innombrables cambriolages bancaires en ligne. Contrairement à ZeuS – qui était vendu comme un kit de création de botnet à quiconque avait quelques milliers de dollars en monnaie virtuelle à dépenser – Gameover ZeuS a depuis octobre 2011 été contrôlé et maintenu par un groupe central de pirates informatiques de Russie et d’Ukraine.

On pense que ces personnes ont utilisé le botnet dans des prises de contrôle de comptes d’entreprise à forte valeur ajoutée qui ont souvent été ponctuées d’attaques massives par déni de service distribué (DDoS) destinées à empêcher les victimes de remarquer immédiatement les vols. Selon le ministère de la Justice, Gameover a été impliqué dans le vol de plus de 100 millions de dollars en prises de contrôle de compte.

Les conservateurs de Gameover auraient également prêté des sections de leur botnet à des tiers contrôlés qui les ont utilisés à diverses fins. L’une des utilisations les plus populaires de Gameover a été en tant que plate-forme pour ensemencer des systèmes infectés avec CryptoLockerune méchante souche de logiciels malveillants qui verrouille vos fichiers les plus précieux avec un cryptage fort jusqu’à ce que vous payiez une demande de rançon.

Selon un article de recherche de 2012 publié par Dell Secure Worksle cheval de Troie Gameover se propage principalement via Cutwail, l’un des botnets de spam les plus importants et les plus notoires au monde (pour en savoir plus sur Cutwail, ses origines et ses auteurs, consultez cet article). Ces courriers indésirables usurpent généralement des marques de confiance, notamment des sociétés de transport et de téléphonie, des détaillants en ligne, des sites de réseaux sociaux et des institutions financières. Les leurres par e-mail portant Gameover se présentent souvent sous la forme d’une facture, d’une confirmation de commande ou d’un avertissement concernant une facture impayée (généralement avec un solde important en raison de l’augmentation de la probabilité qu’une victime clique sur le lien). Les liens contenus dans l’e-mail ont été remplacés par ceux de sites compromis qui sonderont silencieusement le navigateur du visiteur à la recherche de plugins obsolètes pouvant être exploités pour installer des logiciels malveillants.

Il sera intéressant d’entendre comment les autorités et les chercheurs en sécurité impliqués dans cet effort ont réussi à prendre le contrôle du botnet Gameover, qui utilise un mécanisme avancé peer-to-peer (P2P) pour contrôler et mettre à jour les systèmes infectés par le bot.

Le mécanisme d'infection et de communication peer-to-peer (P2P) de Gameover ZeuS.  Image: Abus.ch

Le mécanisme d’infection et de communication peer-to-peer (P2P) de Gameover ZeuS. Image: Abus.ch

L’ajout du composant P2P dans Gameover est une innovation conçue pour rendre beaucoup plus difficile le démantèlement du botnet pour les experts en sécurité, les forces de l’ordre ou d’autres bienfaiteurs d’Internet. En mars 2012, Microsoft a utilisé une combinaison de manœuvres juridiques et de surprise pour éliminer des dizaines de botnets alimentés par ZeuS (et son code-cousin – SpyEye), en prenant le contrôle des noms de domaine que les méchants utilisaient pour contrôler les botnets ZeuS individuels.

Mais Gameover serait beaucoup plus difficile à perturber ou à arracher à ses créateurs : il utilise un système décentralisé et à plusieurs niveaux de proxys intermédiaires et un cryptage fort pour cacher l’emplacement des serveurs que les maîtres du botnet utilisent pour contrôler la machine criminelle.

« L’action de retrait de Microsoft en 2012 n’a eu aucun effet sur la version P2P de ZeuS en raison de son architecture réseau », lit-on dans l’article de 2012 de Dell SecureWorks sur Gameover. « Dans le modèle P2P de ZeuS, chaque client infecté maintient une liste des autres clients infectés. Ces pairs agissent comme un réseau de proxy massif entre les opérateurs de botnet P2P ZeuS et les hôtes infectés. Les pairs sont utilisés pour propager les mises à jour binaires, distribuer les fichiers de configuration et envoyer les données volées aux contrôleurs. »

Selon McAfee, la saisie de Gameover devrait coïncider avec un effort de nettoyage dans lequel les fournisseurs de services Internet contactent les clients concernés pour aider à réparer les PC compromis. Le ministère de la Sécurité intérieure Équipe américaine de préparation aux urgences informatiques (US-CERT) publié aujourd’hui une liste de ressources cela peut aider dans cet effort.

Mise à jour, 11 h 07 HE : Le ministère de la Justice vient de publier une plainte (PDF) qui nomme l’auteur présumé du cheval de Troie ZeuS, prétendument un citoyen russe nommé Evgueni Mikhaïlovitch Bogatchev. La plainte mentionne quelque chose que ce blog a noté à plusieurs reprises – que l’auteur de ZeuS a utilisé plusieurs surnoms, dont « Slavik » et « Pollingsoon ». D’autres documents judiciaires liés à l’action d’aujourd’hui sont disponibles ici.

Yevgeniy Bogachev, Evgeniy Mikhaylovich Bogachev, alias "lucky12345", "slavik", "Pollingsoon".  Source : FBI.gov "le plus recherché, cyber.

Yevgeniy Bogachev, Evgeniy Mikhaylovich Bogachev, alias « lucky12345 », « slavik », « Pollingsoon ». Source : FBI.gov « le plus recherché, cyber.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *