De nos jours, beaucoup trop de développeurs de logiciels autrement intelligents et talentueux pensent apparemment qu’ils peuvent s’en tirer en écrivant, vendant et soutenant des logiciels malveillants, puis en présentant leur commerce comme une entreprise purement légitime. Voici l’histoire de la façon dont j’ai appris l’identité réelle d’un Canadien qui travaille sous la même illusion en tant que propriétaire de l’un des outils les plus populaires et les plus abordables pour pirater l’ordinateur de quelqu’un d’autre.
Plus tôt cette semaine, j’ai entendu de Daniel Gallagher, un professionnel de la sécurité qui aime occasionnellement analyser de nouveaux échantillons de logiciels malveillants trouvés dans la nature. Gallagher a déclaré que lui et les membres de @malwrhunterteam et @MalwareTechBlog récemment entré dans un combat sur Twitter avec l’auteur de Orcus RAT, un outil qui, selon eux, a été explicitement conçu pour aider les utilisateurs à compromettre et à contrôler à distance des ordinateurs qui ne leur appartiennent pas.
Une image fixe d’une vidéo Youtube démontrant la capacité d’enregistrement de frappe d’Orcus RAT à voler les mots de passe de Facebook et d’autres sites.
L’auteur d’Orcus — une personne surnommée « Ciriis McGraw » alias « Armada » sur Twitter et d’autres réseaux sociaux — a affirmé que son RAT était en fait un bénin « outil d’administration à distance » conçu pour être utilisé par les administrateurs réseau et non un » cheval de Troie d’accès à distance » comme l’ont accusé les critiques. Gallagher et d’autres ont contesté cette affirmation, soulignant qu’ils rencontraient de plus en plus d’ordinateurs infectés par Orcus à l’insu des propriétaires légitimes de ces machines.
Les chercheurs sur les logiciels malveillants ont noté une autre raison pour laquelle McGraw ne pouvait pas si facilement se distancier de la façon dont ses clients utilisaient le logiciel : lui et son équipe fournissent un support technique et une aide continus aux clients qui ont acheté Orcus et qui ont du mal à comprendre comment infecter de nouveaux machines ou cacher leurs activités en ligne.
De plus, la gamme de fonctionnalités et de plugins pris en charge par Armada, ont-ils soutenu, va bien au-delà de ce qu’un administrateur système rechercherait dans un client d’administration à distance légitime comme Visionneuse d’équipey compris la possibilité de lancer un enregistreur de frappe qui enregistre chaque frappe de l’ordinateur de la victime, ainsi qu’une fonctionnalité qui permet à l’utilisateur de jeter un coup d’œil à travers la webcam de la victime et de désactiver la lumière de la caméra qui alerte les utilisateurs lorsque la caméra est allumée.
Une nouvelle fonctionnalité d’Orcus annoncé le 7 juillet permet aux utilisateurs de configurer le RAT afin qu’il échappe aux outils d’investigation numérique utilisés par les chercheurs de logiciels malveillants, y compris un anti-débogueur et une option qui empêche le RAT de s’exécuter à l’intérieur d’une machine virtuelle.
D’autres plugins proposés directement à partir de la page de support technique d’Orcus (PDF) et créés par l’équipe de support du RAT incluent un « robot d’enquête» conçu pour « faire en sorte que tous vos clients fassent des sondages contre de l’argent » ; une « Épandeur USB/.zip/.doc», destiné à aider les utilisateurs à « diffuser un fichier de votre choix à tous les clients via des macros USB/.zip/.doc » ; une « Vérificateur de virustotal.com» fait de « vérifier un fichier de votre choix pour voir s’il a été scanné sur VirusTotal » ; Et un « Injecteur Adsense», qui « détournera les publicités sur les pages et les remplacera par vos publicités Adsense et désactivera le bloqueur de publicités sur Chrome ».
QUI EST ARMADA ?
Gallagher a déclaré qu’il était tellement frappé par la « suffisance » et le culot pur et simple du gars qu’il a décidé d’examiner de plus près tous les indices que Ciriis Mcgraw aurait pu laisser derrière lui quant à son identité et son emplacement dans le monde réel. Effectivement, il a découvert que Ciriis McGraw avait aussi un compte Youtube sous le même nom, et que une vidéo McGraw publiée en juillet 2013 a pointé du doigt un agent de sécurité de 33 ans de Toronto, au Canada.
Gallagher a remarqué que la vidéo – un enregistrement d’un spectateur sur les lieux d’une fusillade policière sur un homme de Toronto – comprenait un lien vers le domaine revue de police[dot]Info. Une recherche des enregistrements d’enregistrement attachés à ce nom de site Web montre que le domaine a été enregistré sur un Jean Revesz à Toronto et à l’adresse courriel [email protected].
Une recherche WHOIS inversée commandée à Domaintools.com montre que la même adresse [email protected] a été utilisée pour enregistrer au moins 20 autres domaines, y compris « thereveszfamily.com », « johnrevesz.com, revesztechnologies[dot]com », et – peut-être le plus révélateur – «lordarmada.info“.
Johnrevesz[dot]com n’est plus en ligne, mais cette copie en cache du site de l’indispensable archive.org comprend son CV personnelqui indique que John Revesz est un administrateur de sécurité réseau dont le travail le plus récent à ce titre était celui d’administrateur de systèmes informatiques pour Banque TD. Profil LinkedIn de Revesz indique qu’au cours de l’année écoulée au moins, il a servi comme agent de sécurité pour Services de protection internationale GardaWorldune firme de sécurité privée basée à Montréal.
Le CV de Revesz indique également qu’il est le propriétaire de Revesz Technologies susmentionné, mais il n’est pas clair si cette entreprise existe réellement; le site Web de l’entreprise redirige actuellement les visiteurs vers une série de sites faisant la promotion d’enquêtes, de publicités et de cadeaux publicitaires contenant du spam et de l’escroquerie.
C’EST DANS LE CLUF, STUPIDE !
Contacté par BreachTrace, Revesz a semblé surpris que j’aie relié les points, mais au-delà de cela, il n’a pas essayé de désavouer la propriété de l’Orcus RAT.
« Le profit n’a jamais été l’objectif intentionnel, mais avec les années d’expérience professionnelle en réseau informatique que j’ai moi-même, je savais que le développement et la structure corrects de l’environnement n’étaient pas non plus une entreprise gratuite », a écrit Revesz en réponse aux questions sur son logiciel. « Grâce à mes plus de 15 ans d’expérience en informatique, j’ai aidé à gérer Orcus à travers son développement.
Revesz a poursuivi :
« En ce qui concerne votre question de légalité. Orcus Remote Administrator ne viole en aucun cas les lois canadiennes relatives au développement ou à la vente de logiciels. Nous n’approuvons, n’autorisons ni n’autorisons aucune forme d’utilisation abusive de notre logiciel. Notre CLUF [end user license agreement] et CGU [terms of service] est très clair à ce sujet. De plus, nous travaillons ouvertement et franchement avec ceux qui sont prudents dans la suppression des logiciels malveillants pour supprimer Orcus contre toute utilisation indésirable et exclure les utilisateurs fautifs qui pourraient abuser de notre logiciel, comme le ferait n’importe quelle autre entreprise.
Revesz a déclaré qu’aucun des plugins susmentionnés n’était pris en charge par Orcus et qu’ils étaient tous développés par des développeurs tiers, et que « Orcus n’autorisera jamais la mise en œuvre de telles fonctionnalités, et ou les plugins seraient carrément bloqués de notre part.
En contradiction apparente avec cette affirmation, les plugins qui permettent aux utilisateurs d’Orcus de désactiver la lumière de la webcam sur un ordinateur exécutant le logiciel et qui permettent au RAT d’être utilisé comme un « stresseur » pour déconnecter les sites et les utilisateurs individuels sont disponibles directement à partir de Page Github d’Orcus Technologies.
Revesz’s propose également un service pour aider les gens à brouiller les pistes en ligne. Utiliser son alter ego « Armada » sur le forum des hackers Forums de piratage[dot]rapporterRevesz vend également un « service DNS dynamique à l’épreuve des balles » qui promet de ne pas conserver d’enregistrements de l’activité des clients.
Les services DNS dynamiques permettent aux utilisateurs d’avoir des sites Web hébergés sur des serveurs qui changent fréquemment d’adresses Internet. Ce type de service est utile pour les personnes qui souhaitent héberger un site Web sur une adresse Internet à domicile qui peut changer de temps à autre, car les services DNS dynamiques peuvent être utilisés pour mapper facilement le nom de domaine à la nouvelle adresse Internet de l’utilisateur chaque fois que ça arrive à changer.
Malheureusement, ces fournisseurs de DNS dynamiques sont extrêmement populaires dans la communauté des attaquants, car ils permettent aux malfaiteurs de maintenir leurs sites malveillants et frauduleux même lorsque les chercheurs parviennent à suivre l’adresse IP de l’attaquant et à convaincre le FAI responsable de cette adresse de déconnecter le malfaiteur. Dans de tels cas, le DNS dynamique permet au propriétaire du domaine attaquant de simplement rediriger le site d’attaque vers une autre adresse Internet qu’il contrôle.
Les fournisseurs de DNS dynamique gratuits ont tendance à signaler ou à bloquer les activités suspectes ou carrément malveillantes sur leurs réseaux, et peuvent bien partager des preuves de l’activité avec les enquêteurs des forces de l’ordre. En revanche, le service DNS dynamique d’Armada est géré uniquement par lui, et il promet dans son annonce sur Hackforums que le service – auquel il vend des abonnements de différents niveaux pour entre 30 $ et 150 $ par an – n’enregistrera pas l’utilisation des clients ni ne rapportera quoi que ce soit à forces de l’ordre.
D’après les écrits de KasperskyLab et Sécurité Heimdal, le service DNS dynamique de Revesz a été utilisé dans le cadre d’une activité de botnet malveillant par un autre RAT connu sous le nom d’Adwind. En effet, le service de Revesz semble impliquer le domaine « nullroute[dot]pw », qui est l’un des 21 domaines enregistrés pour un « Ciriis Mcgraw » (ainsi que orcus[dot]pw et orcusrat[dot]pw).
J’ai demandé à Gallagher (le chercheur qui m’avait initialement informé des activités de Revesz) s’il était convaincu par les arguments de Revesz selon lesquels Orcus n’était qu’un outil et que Revesz n’était pas responsable de la façon dont il était utilisé.
Gallagher a déclaré que lui et ses amis chercheurs de logiciels malveillants avaient eu des conversations privées avec Revesz dans lesquelles il semblait reconnaître que certains aspects du RAT allaient trop loin et avaient promis de publier des mises à jour logicielles pour supprimer certaines fonctionnalités répréhensibles. Mais Gallagher a déclaré que ces promesses ressemblaient davantage aux actions de quelqu’un essayant de se couvrir.
« J’essaie constamment de remettre en question mes hypothèses et de m’assurer que je joue l’avocat du diable et que je ne saute pas le pas », a déclaré Gallagher. « Mais je pense qu’il est bien conscient que ce qu’il fait blesse les gens, c’est juste maintenant qu’il sait qu’il est sous le microscope et qu’il essaie d’en faire et d’en dire assez pour se couvrir si jamais il devait être interrogé par les forces de l’ordre. »