Le code source de « Carberp » – un kit de création de botnet codé par une équipe d’au moins deux douzaines de pirates qui l’ont utilisé pour soulager les banques d’environ 250 millions de dollars – a été mis en ligne pour que quiconque puisse le télécharger. La fuite de code offre aux experts en sécurité un aperçu fascinant et quelque peu rare de l’économie du malcodage, mais beaucoup craignent également que sa publication n’engendre de nouvelles souches hybrides de logiciels malveillants bancaires sophistiqués.
Panneau d’administration Carberp. Source : Xylibox.blogspot.com
La fuite semble avoir commencé, comme c’est souvent le cas, avec la vente du code source dans un forum de cybercriminalité semi-privé. Le 5 juin, un membre du Lampedusa crime forum a déclaré qu’il vendait la source Carberp à un seul acheteur, avec un prix de départ de 25 000 $. Le vendeur a déclaré qu’il aidait l’un des développeurs du code, qui manquait d’argent.
À la mi-juin, des liens pour télécharger l’intégralité de l’archive Carberp étaient publiés sur plusieurs forums, comme l’a d’abord documenté Fiduciaire. Depuis lors, des experts du monde entier ont parcouru l’archive de deux gigaoctets pour en savoir plus sur le code et son potentiel d’abus futurs dans les créations de logiciels malveillants nouveaux et existants.
« La fuite du code source n’était pas comme la fuite d’une arme, mais plus comme la fuite d’une usine de chars, » a écrit un blogueur technologique ukrainien sur Live journal.
Selon Pierre Krusespécialiste de la société basée à Copenhague Groupe de sécurité du SCRS, le forfait comprend le bootkit Carberp; c’est un composant qui peut subvertir le Patchguard protection dans les systèmes Windows 7 x86 et 64 bits afin que le logiciel malveillant se charge aux niveaux les plus élémentaires du système (Kruse a déclaré que le composant bootkit est incomplet et ne fonctionne pas contre Windows 8 PC).
Sont également inclus les composants d’un cheval de Troie connu sous le nom de UrSnifainsi qu’un kit de création de botnet rival extrêmement populaire et répandu appelé Citadelle.
« Comme pour le fuite du code source de ZeuSen mai 2011, cela signifie que les criminels ont toutes les chances de modifier et même d’ajouter de nouvelles fonctionnalités au kit », a déclaré Kruse. a écritnotant que l’archive Carberp contient également plusieurs fichiers texte qui semblent être des enregistrements de discussions privées et divers noms d’utilisateur et mots de passe.
CODEURS TOUCHANTS
L’année dernière, les autorités russes et ukrainiennes ont arrêté un groupe de hackers vaguement affiliés accusés de programmer et d’utiliser Carberp pour voler des millions de comptes bancaires de leurs compatriotes. Selon un compte rendu de l’action des forces de l’ordre dans le média russe Kommersant, Carberp a été codé par une équipe d’environ 20 à 25 personnes de moins de 30 ans. La plupart des hommes ne s’étaient jamais rencontrés en personne. Chacun travaillait à distance et était responsable du développement de modules spécifiques du code Carberp, composants qui étaient ensuite transmis à un serveur de développement principal à Odessa, en Ukraine.
Certaines des archives de code source de Carberp divulguées.
Membres du forum de codage kernelmode.info se sont penchés sur les commentaires laissés dans le code par les développeurs de Carberp. Un ensemble de commentaires, traduits du russe par un lecteur de BreachTrace, suggère que le développeur était frustré de devoir programmer dans les limites de ce qu’il considérait comme un système d’exploitation bâclé ou peut-être un code de plug-in de navigateur Web.
« Je vais arracher les mains de quelqu’un pour ce genre de code ! » le développeur non identifié a noté dans une section de la source Carberp. « Cette stupide chose fait Dieu-sait-quoi. »
D’un autre extrait : « [This] la fonction cherche [at the] dernière procédure de rappel, je n’ai pas pu la placer dans la fenêtre Java – la chienne n’a pas fonctionné.
Sur les programmeurs Microsoft Windows : « Ces indiens stupides et débiles de Microsoft ; ils ne comprennent pas qu’ils sont extrêmement stupides.
Dans une interview téléphonique, Kruse du SCRS a déclaré que même si les codeurs de Carberp ont peut-être vendu la source, il doute que la source de Carberp ait été divulguée par les développeurs du code.
« Ce qui est vraiment intéressant à ce sujet, c’est que certaines des informations révélées – numéros ICQ, noms Skype, voire adresses – correspondent parfaitement aux enquêtes que nous avons menées précédemment », a déclaré Kruse. « Il est plus probable que quelqu’un l’ait volé, car s’ils étaient sains d’esprit, les auteurs n’auraient jamais divulgué cela eux-mêmes. »
DESCENDANCE CARBERP ?
Comme le note Kruse du SCRS, la fuite de la source Carberp remonte à la publication du code source du cheval de Troie ZeuS en 2011. Fin 2010, les autorités du Royaume-Uni et de l’Ukraine ont arrêté et détenu plusieurs personnes pour avoir développé et profité de versions personnalisées du cheval de Troie ZeuS. Cheval de Troie ZeuS. En février 2011, la source ZeuS a été repérée à vendre sur plusieurs forums criminels. Moins de trois mois plus tard, toute la base de code source de ZeuS a été divulguée en ligne.
La fuite du code source de ZeuS a rapidement alimenté le développement de plusieurs kits de création de botnets rivaux, notamment Glace9 et Citadelle. Ce dernier a introduit plusieurs innovations. Par exemple, les développeurs de Citadel ont fourni aux clients sous licence un forum Web réservé aux membres où les utilisateurs pouvaient suggérer et voter sur de nouvelles fonctionnalités dans les prochaines versions de logiciels malveillants. Les auteurs de Citadel ont également développé un système de ticket d’incident que les clients payants pourraient utiliser pour résoudre les problèmes de compatibilité.
Pour avoir une idée de l’impact de Citadel, considérons une action récente de Microsoft qui a lancé une attaque sournoise légalek contre plus de 1 400 botnets distincts qui ont tous été créés avec le kit Citadel. Microsoft est toujours en train de calculer les chiffres, mais Richard Boscovichavocat principal de l’unité des crimes numériques de Microsoft, a déclaré que les chiffres préliminaires suggèrent que son action a libéré au moins 1,25 million de PC infectés de l’emprise de Citadel (j’en aurai plus sur les progrès du démantèlement de Citadel dans un prochain article).
Pour en savoir plus sur le gang Carberp et l’évolution de cette fabrique de logiciels malveillants remarquable (et désormais publique), consultez ce post des chercheurs d’une société d’antivirus et de sécurité ESET.