« Project Blitzkrieg », un plan effronté Underweb pour l’embauche de 100 botmasters pour alimenter une flambée de braquages de banque en ligne contre 30 institutions financières américaines au printemps 2013, a rencontré le scepticisme de certains membres de la communauté de la sécurité après que la nouvelle du stratagème a été révélée en Octobre. Beaucoup ont supposé qu’il s’agissait d’une piqûre d’application de la loi, ou simplement des divagations d’un cerveau criminel en herbe. Mais de nouvelles recherches suggèrent que les escrocs qui ont élaboré le plan étaient sérieux et ont minutieusement construit une formidable machine criminelle en préparation du projet.
McAfee dit avoir suivi des centaines d’infections de Gozi Prinimalka depuis l’annonce du projet Blitzkrieg début septembre.
Le mécréant qui a posté l’appel aux armes – un gars chauve et trapu utilisant le surnom vorVzakone (littéralement, « voleur en droit ») – a également publié un certain nombre de captures d’écran qui, selon lui, ont été prises à partir d’un panneau de contrôle fonctionnel pour le botnet qu’il construisait. Ces images contenaient plusieurs adresses Internet de PC qui auraient fait partie de son botnet. Selon Sécurité RSAle botnet était composé de systèmes infectés par Gozi Prinimalkaune version personnalisée du puissant cheval de Troie bancaire Gozi voleur de mots de passe.
Dans une analyse (PDF) à paraître le 13 décembre, fournisseur de sécurité McAfee a déclaré qu’il était en mesure de combiner les données de ces captures d’écran avec les détections de logiciels malveillants sur son propre réseau pour corréler à la fois les PC victimes et l’emplacement du serveur de contrôle. Il a découvert que la version du cheval de Troie Prinimalka utilisée dans l’attaque possède deux identifiants uniques (« ID de campagne » et « ID de bot ») qui identifient la variante déployée sur les ordinateurs infectés. McAfee a déclaré que tous les systèmes identifiés à partir des captures d’écran publiées par vorVzakone portaient l’ID de campagne 064004, qui a été découvert dans la nature le 14 avril 2012.
Ryan Sherstobitoffun chercheur sur les menaces chez McAfee, a déclaré que l’analyse de la société indique que le projet Blitzkrieg est une menace crédible pour le secteur financier et semble aller de l’avant.
« Il y a beaucoup de spéculations sur le fait que le projet Blitzkrieg soit réel ou simplement une création des forces de l’ordre russes en tant qu’opération d’infiltration. Notre analyse suggère qu’il est authentique, bien que le moment de l’activité frauduleuse soit inconnu », a déclaré Sherstobitoff. « Nous savons que les voleurs ont un système actif depuis avril 2012, avec au moins 500 victimes qui peuvent être liées à vorVzakone. ”
Aussi sophistiqué que soit Gozi Prinimalka, il a gardé un profil inhabituellement bas. Sherstobitoff a déclaré que le cheval de Troie Prinimalka ne semble pas avoir été développé par vorVzakone ; plutôt, l’analyse du bavardage clandestin concernant ce cheval de Troie indique qu’il a été développé par un autre groupe et leur a été fourni. Il a ajouté que le cheval de Troie Prinimalka lié au projet Blitzkrieg est une évolution directe d’une variante de Gozi vue au début de 2007 et découverte par Dell Secure Worksqui était lié à une solution antifraude clé en main appelée 76Service.com.
McAfee a découvert que la variante originale de Prinimalka avait été créée en novembre 2008 et était liée à une infrastructure d’attaque basée en Ukraine. La deuxième variante était liée au projet pilote vorVzakone en avril. Mais la société a repéré une troisième version connectée à des serveurs roumains qui a été déployée pour la première fois dans la nature peu de temps après le message d’appel aux armes de vorVzakone en septembre 2012.
Le pirate « vorVzakone » a publié cette capture d’écran d’un composant du panneau de contrôle du botnet Prinimalka [IP obfuscation added]
« La dernière victime que nous avons documentée était le 30 novembre 2012, cela montre donc qu’il y a eu une activité après son affectation », a déclaré Sherstobitoff. « Nos recherches indiquent que l’opération est en phase de planification depuis des mois. »
Sherstobitoff postule que vorVzakone avait très probablement l’intention d’embaucher des botmasters qui avaient déjà accès à un nombre substantiel d’identifiants de connexion pour les institutions financières américaines ciblées dans le stratagème. Comme détaillé dans une capture d’écran publiée sur ce blog début octobre, il y a certaines banques que vous vous attendez à voir sur la liste – Banque d’Amérique, Capitale une et Suntrustpar exemple – mais bon nombre des cibles du projet Blitzkrieg sont en fait des banques d’investissement, telles que Fonds américains, Améritrade, commerce électronique, fidélité, OptionsExpresset Schwab.
Bon nombre de ces institutions – et les banques d’investissement en particulier – obligent les clients à franchir plusieurs étapes avant d’être autorisés à retirer de l’argent des comptes. Mais le danger avec des menaces comme Prinimalka est qu’elles offrent aux voleurs une myriade d’outils pour contourner les protections contre la fraude et usurper l’identité des clients. En tant que RSA signaléle logiciel malveillant permet aux malfaiteurs de cloner efficacement le PC de la victime, du moins en ce qui concerne le site Web de la banque :
Un nouveau module de synchronisation de machine virtuelle annoncé par le gang, installé sur la machine du botmaster, dupliquera prétendument les paramètres du PC de la victime, y compris le fuseau horaire de la victime, la résolution de l’écran, les cookies, le type et la version du navigateur et les identifiants des produits logiciels. Les comptes des victimes usurpées seront ainsi accessibles via une connexion proxy SOCKS installée sur leurs PC infectés, permettant au système virtuel cloné de prendre l’adresse IP authentique lors de l’accès au site Web de la banque.
Il semble maintenant plus probable qu’il s’agissait d’une campagne de fraude « légitime » planifiée dans le métro, mais il est impossible de dire si le printemps 2013 apportera le blitzkrieg de fraude promis, ou si le cerveau lui-même coordonne encore le projet. Peu de temps après la mise en ligne de mon histoire sur vorVzakone, il a disparu du forum clandestin où il avait élaboré le plan, et a été vertement réprimandé par les membres du forum pour avoir attiré autant l’attention du public sur le sujet. Selon toute vraisemblance, il maintient simplement un profil plus bas ces jours-ci.
Les logiciels malveillants modernes tels que Gozi Prinimalka soulignent la nécessité pour les internautes et les banques de prendre des mesures plus agressives pour garantir l’intégrité et la sécurité des transactions en ligne. Les Live CD sont un excellent moyen d’y parvenir du côté du client (cette approche fonctionne même lorsque le disque dur sous-jacent de l’utilisateur est déjà infecté par des logiciels malveillants). Les institutions financières doivent envisager des approches qui ne reposent pas principalement sur le fait d’obliger l’utilisateur à fournir des quantités toujours plus importantes d’informations personnelles pour s’authentifier, car cette approche échoue lorsque l’ordinateur de l’utilisateur est déjà compromis.
Mise à jour, 14 décembre, 11 h 30 HE : Ajout d’un lien vers le document de recherche de McAfee.