Les procureurs fédéraux ont annoncé aujourd’hui des accusations criminelles contre trois hommes présumés responsables de la création et de la distribution du Cheval de Troie Goziune souche extrêmement sophistiquée de logiciels malveillants vendus à des cyber-escrocs et conçus sur mesure pour attaquer des institutions financières spécifiques ciblées par chaque acheteur.
Selon les documents d’accusation déposés auprès du tribunal de district américain du district sud de New York, les autorités pensent que Gozi a été la création de Nikita Kouzmin, un ressortissant russe de 25 ans. Les autorités disent que Kuzmin a été aidé par un résident letton de 27 ans Denis « Miami » Calovskiset Mihai Ionut Paunescuun ressortissant roumain de 28 ans qui aurait utilisé le pseudonyme « Virus ».
Une annonce de conférence de presse envoyée aux journalistes aujourd’hui par le bureau du procureur américain de New York Préet Bharara déclare que Gozi a infecté plus d’un million d’ordinateurs – dont au moins 40 000 aux États-Unis – et causé des millions de dollars de pertes. Le bureau de Bharara a qualifié Gozi de « l’un des virus informatiques les plus destructeurs sur le plan financier de l’histoire ».
Les accusations comprennent le complot de fraude bancaire, le complot en vue de commettre une intrusion informatique, le complot de fraude par fil. Kuzmin a été arrêté en Californie en novembre 2010 ; Calovskis a été arrêté en Lettonie en novembre 2012 ; Paunescu a été arrêté le mois dernier en Roumanie.
76Page de connexion aux services
Découverte début 2007, le cheval de Troie Gozi est un outil de cybervol furtif qui échappe généralement à la détection antivirus pendant des semaines, voire des mois, à la fois. Les experts en cybercriminalité affirment que Gozi est resté une menace puissante, principalement parce que son auteur a été très sélectif dans le choix de nouveaux clients et méticuleux dans la création de versions personnalisées et indétectables du malware.
Cependant, malgré toute la sophistication du cheval de Troie, les enquêteurs affirment qu’il n’était que le véhicule de livraison de la véritable machine à gagner de l’argent de l’auteur : un système de fraude logiciel en tant que service appelé « 76 Service ». Selon les autorités, Kuzmin a commercialisé le service sur des forums de cybercriminels hautement contrôlés en ligne, offrant aux clients une machine criminelle de soupe aux noix qui automatise les processus de vol des clients des services bancaires en ligne. Incroyablement, ce système clé en main a même automatisé la fourniture immédiate de soi-disant «moules monétaires», des individus volontaires ou involontaires recrutés par le biais d’escroqueries au travail à domicile pour aider les voleurs à blanchir des fonds volés.
« C’était un peu comme Salesforce.com pour les méchants, où il les connectait à son centre de cybercriminalité, puis les facturait à l’oreille pour des services supplémentaires », a déclaré un enquêteur sur les fraudes qui travaillait en étroite collaboration avec des responsables de l’application des lois sur l’enquête mais qui a demandé à rester anonyme.
« En tant que client, vous lui diriez quelles banques vous vouliez cibler, et il a des relations étroites avec des personnes qui peuvent coder ensemble des scripts précodés pour interagir spécifiquement avec ces sites Web bancaires, ou a des développeurs en attente pour se rencontrer vos besoins », a déclaré la source. « Ensuite, il génère le cheval de Troie Gozi personnalisé juste pour vous, en fournissant le chiffreur qui l’aide à échapper à la détection antivirus, et il fournit l’infrastructure d’hébergement sur le back-end qui vous permet de gérer toutes les machines infectées par le cheval de Troie. »
76 Les clients du service ont reçu une interface Web simple, pointer-cliquer, qui pouvait être utilisée pour contrôler les machines infectées par la variante Gozi de leur client et pour manipuler la façon dont les clients victimes interagissaient avec le site Web de leurs institutions financières.
Un « inject » de Gozi ciblant les victimes de la banque américaine
À cette fin, les « injects » fournis par l’équipe de Gozi ont été la principale source de revenus pour le 76Service. Une attaque typique de Gozi fonctionnait comme ceci : un client de 76Service décidait quelles banques utilisaient la plupart des victimes de son cheval de Troie, puis payait l’auteur pour créer un système automatisé afin que, lorsque les victimes se connectaient au site de leur banque, le cheval de Troie injecte du code HTML contenu dans le site Web de la banque tel qu’il est affiché dans le navigateur de la victime – forment généralement des champs qui demandent des données personnelles ou financières supplémentaires sur la victime, puis transmettent ces données aux attaquants.
Un type d’injection courant utilisé par Gozi était une boîte contextuelle – comme l’injection réelle de Gozi dans l’image ci-dessus à gauche, une injection qui ciblait Banque américaine et demandé des données supplémentaires aux titulaires de comptes victimes.
Les enquêteurs affirment que Gozi a également été utilisé pour injecter du contenu directement dans la page Web de la banque telle qu’affichée par le navigateur de la victime, permettant aux attaquants d’usurper le solde bancaire de la victime : dans de telles attaques, les escrocs pouvaient vider un compte de tous les fonds disponibles, et pourtant forcer le navigateur de la victime pour afficher le solde d’origine avant le vol.
Une autre injection qui, selon des sources, a été utilisée principalement contre des banques au Royaume-Uni a en fait automatisé le processus d’envoi de fonds volés de comptes compromis à des mules financières. On pensait que les mules étaient fournies par un groupe tiers spécialisé dans le recrutement, la vérification et la formation de mules – les préparant à être prêts à recevoir des transferts, à retirer l’argent en espèces, puis à transférer les fonds aux attaquants.
Un panneau administratif pour un client de Gozi ciblant les clients de la banque Nordea
Les procureurs allèguent que Kuzmin a dirigé la création de Gozi et que Calovskis était responsable de la rédaction d’injections Web pour Gozi et pour les clients du cheval de Troie ZeuS, une autre souche de logiciels malveillants couramment utilisée dans les cyberbraquages. Selon les enquêteurs, Paunescu exploitait un service « d’hébergement à l’épreuve des balles » qui servait de serveur proxy pour les ordinateurs infectés par Gozi et ZeuS.
S’il est reconnu coupable, Kuzmin risque jusqu’à 95 ans de prison. Calovskis et Paunescu encourent respectivement un maximum de 67 et 60 ans de prison. Voici des copies PDF des accusations portées contre Calovskis, Kuzmin et Paunescu.