Les autorités ont saisi des ordinateurs et des serveurs aux États-Unis et dans sept autres pays cette semaine dans le cadre d’une enquête en cours sur un gang de piratage qui a volé 72 millions de dollars en incitant les gens à acheter de faux produits antivirus. La police ukrainienne a déclaré que les voleurs avaient volé des consommateurs sans méfiance avec l’aide du tristement célèbre Ver Confickerbien que l’importance du rôle joué par le ver à propagation rapide dans ce crime reste incertaine.
Image reproduite avec l’aimable autorisation de fbi.gov
Le Service de sécurité d’Ukraine (SBU) a déclaré aujourd’hui qu’il avait saisi au moins 74 pièces d’équipement informatique et de l’argent d’un groupe criminel soupçonné d’avoir mené une opération massive pour voler des informations bancaires aux consommateurs avec l’aide de Conficker et de scareware, une arnaque qui utilise des alertes de sécurité trompeuses pour inciter les gens à payer pour un logiciel de sécurité sans valeur. UNE Version traduite par Google d’un communiqué de presse SBU suggère que le gang criminel a utilisé Conficker pour déployer le scareware, puis a utilisé le scareware pour lancer un virus qui a volé les informations financières des victimes.
L’action ukrainienne semble être liée à un effort international continu d’application de la loi surnommé Opération Trident Tribunal par le FBI. Dans une déclaration publié mercredi, le ministère américain de la Justice a déclaré avoir saisi 22 ordinateurs et serveurs aux États-Unis impliqués dans le programme de scareware. Le ministère de la Justice a déclaré que 25 ordinateurs et serveurs supplémentaires situés à l’étranger avaient été démontés dans le cadre de l’opération, en coopération avec les autorités néerlandaises, lettones, allemandes, françaises, lituaniennes, suédoises et britanniques.
Mardi, Le New York Times signalé que des dizaines de sites Web ont été mis hors ligne lorsque des responsables du FBI ont fait une descente dans un centre de données à Reston, en Virginie, et ont saisi des serveurs Web. Les responsables d’une société d’hébergement concernée ont déclaré au Times qu’ils ne connaissaient pas la raison du raid, mais l’histoire suggérait qu’il était peut-être lié à une enquête en cours sur une série d’intrusions effrontées du groupe hacktiviste « Lulzsec ». Des sources proches de l’enquête ont déclaré à BreachTrace que le raid était plutôt lié à l’enquête sur les scarewares.
La déclaration du FBI confirme l’estimation du SBU de 72 millions de dollars de pertes, estimant que l’escroquerie a fait au moins 960 000 victimes. Bien que le FBI n’ait fait aucune mention de Conficker dans aucun de ses documents de presse, les noms et citations des communiqués de presse du SBU ukrainien Agent spécial Norman Sanders du bureau extérieur du FBI à Seattle, largement connu dans l’industrie de la sécurité comme le chef de file de l’agence dans l’enquête Conficker. Conficker a fait surface pour la première fois en novembre 2008. Le SBU a déclaré que le FBI enquêtait sur l’affaire depuis trois ans. [Update, June 24, 9:37 a.m.: Not sure whether this was an oversight or a deliberate attempt to deceive, but the picture showing the stack of PCs confiscated in this raid is identical to the one shown in an SBU press release last fall, when the Ukrainian police detained five individuals connected to high-profile ZeuS Trojan attacks.]
« En échangeant des informations avec le service de sécurité, il est devenu clair que les services de renseignement des deux pays [were] enquêtant sur les actes criminels des mêmes personnes », a déclaré le SBU dans sa déclaration préparée.
Il n’y a pas de dossiers judiciaires de cette affaire accessibles au public aux États-Unis; un porte-parole du bureau du ministère de la Justice du district ouest de Washington a déclaré que les documents restaient scellés. Elle a renvoyé les questions sur l’affaire au siège du FBI à Washington, DC. Interrogée spécifiquement sur la connexion Conficker, la porte-parole du FBI jenny cisaillement dirait seulement qu' »il y a des indications que l’un des mécanismes de diffusion du scareware dans cette enquête était une variante de Conficker ».
L’élément Conficker de cette affaire est intéressant pour plusieurs raisons : le ver était si sophistiqué et s’est propagé si rapidement qu’il a suscité une coopération sans précédent entre les gouvernements et les experts en sécurité, qui ont formé le groupe de travail Conficker pour aider à contenir les dégâts causés par le ver. Conficker a certainement causé des dommages financiers – on estime qu’il a infecté plus de 12 millions de PC – mais jusqu’à aujourd’hui, peu d’informations suggèrent que cette énorme machine criminelle a été utilisée pour générer des profits pour les cyber-escrocs.
Je connais deux cas précédents dans lesquels Conficker était lié à des escroqueries de scareware. Le premier concernait la version initiale du ver, qui demandait à tous les PC infectés de visiter et de télécharger un fichier depuis TrafficConverter.biz, le domaine d’un programme d’affiliation qui payait des pirates pour distribuer sa marque de scareware les principaux affiliés de ce programme gagnaient des centaines de milliers de dollars par mois en poussant des scarewares, bien qu’il ne soit pas clair si les systèmes infectés par Conficker ont déjà reçu des téléchargements de scarewares du domaine. De cette histoire:
« Au moment où Conficker a fait surface pour la première fois, TrafficConverter approchait de la fin d’un concours dans lequel les affiliés les plus vendus se disputaient des prix, tels que des ordinateurs, des téléphones portables sophistiqués et d’autres appareils électroniques. Le grand prix ? Une Lexus IS250, une berline sport à partir de 36 000 $.
À première vue, il est tentant de supposer que les auteurs du ver Conficker étaient de mèche avec les opérateurs de TrafficConverter.biz, et essayaient ainsi de générer du trafic vers le site – peut-être dans le but de pousser le concours en faveur d’un ou plusieurs affiliés. . D’un autre côté, cela peut avoir été une tentative des auteurs de Conficker ou d’un programme d’affiliation concurrent d’entraver et finalement de fermer TrafficConverter.biz, soit en obligeant les forces de l’ordre et la communauté de la sécurité à concentrer leur attention sur lui, soit en inondant le site. avec le trafic de centaines de milliers de systèmes infectés par Conficker.
Et inonder le site qu’il a fait. Selon [SecureWorks’s Joe] Examen par Stewart des fichiers journaux de trafic pour TrafficConverter.biz, pendant une période de 12 heures le 24 novembre, le site a été bombardé par plus de 83 millions de visites provenant d’au moins 179 000 adresses Internet uniques.
Le trafic des systèmes infectés par Conficker.A vers TrafficConverter.biz pourrait s’être traduit par des installations monstres pour les affiliés du site. Ironiquement, tout ce trafic provenant de systèmes infectés par Conficker semble être allé vers une page inexistante sur TrafficConverter.biz, a déclaré Stewart. En bref, le site a raté une opportunité assez énorme de convertir beaucoup de trafic.
Pourtant, si les conservateurs de TrafficConverter.biz avaient effectivement placé un fichier sur ce lien pour le téléchargement, le trafic résultant de 179 000 systèmes essayant de télécharger ce fichier en même temps aurait probablement complètement planté le site, a déclaré Stewart.
La deuxième association de Conficker avec un scareware est survenue trois semaines après cette histoire. Le 8 avril 2009, KasperskyLab signalé qu’il avait vu certains systèmes infectés par Conficker mis à jour avec un produit effrayant appelé Spyware Protect 2009. Les analystes de Kaspersky ont également découvert que les PC infectés recevaient une autre mise à jour : une version du Ver Waledacqui est capable de voler des données et d’envoyer des spams.
Toute personne disposant d’informations sur l’identité des auteurs de Conficker pourrait avoir un pourboire lucratif entre les mains : Microsoft a une prime exceptionnelle de 250 000 $ pour obtenir des informations menant à l’arrestation et à la condamnation des responsables du lancement du ver.