La violation apparente des cartes de crédit et de débit découverte la semaine dernière à Dépôt à domicile a été aidé en partie par une nouvelle variante du logiciel malveillant qui a volé les données de compte de carte des caisses enregistreuses à Cible en décembre dernier, selon des sources proches de l’enquête.
Mardi, BreachTrace a annoncé que Home Depot travaillait avec les forces de l’ordre pour enquêter sur une « activité inhabituelle » après que plusieurs banques ont déclaré qu’elles avaient retracé un schéma de fraude par carte jusqu’aux cartes de débit et de crédit qui avaient toutes été utilisées dans les emplacements de Home Depot depuis mai de cette année.
Une source proche de l’enquête a déclaré à cet auteur qu’une analyse a révélé qu’au moins certains des registres des magasins de Home Depot avaient été infectés par une nouvelle variante de « BlackPOS» (alias « Kaptoxa »), une souche de logiciels malveillants conçue pour siphonner les données des cartes lorsqu’elles sont glissées dans des systèmes de points de vente infectés exécutant Microsoft Windows.
Les informations sur le logiciel malveillant ajoutent un autre indicateur que les responsables de la violation non encore confirmée chez Home Depot ont également été impliqués dans l’attaque de décembre 2013 contre Target qui a exposé 40 millions de comptes de cartes de débit et de crédit. BlackPOS a également été trouvé sur les systèmes de point de vente chez Target l’année dernière. De plus, des cartes apparemment volées aux acheteurs de Home Depot ont été mises en vente pour la première fois le Réscateur[dot]ccle même magasin clandestin de cybercriminalité qui a vendu des millions de cartes volées lors de l’attaque Target.
Des indices enfouis dans cette nouvelle version de BlackPOS soutiennent la théorie avancée par plusieurs banques selon laquelle la violation de Home Depot peut impliquer des transactions de magasin compromises remontant à au moins plusieurs mois. De plus, la boutique de cybercriminalité Rescator a chassé ces derniers jours neuf autres gros lots de cartes volées dans sa boutique, le tout sous la même étiquette « American Sanctions » attribuée aux deux premiers lots de cartes qui avaient initialement averti les banques d’un schéma de fraude par carte remontant à Home Depot. De même, les cartes levées chez Target ont été vendues en plusieurs dizaines de lots sortis sur une période de trois mois sur la boutique de Rescator.
DES ENNEMIS PUISSANTS
Le conseil d’une source sur les infections BlackPOS trouvées chez Home Depot fait suite à des rapports de plusieurs sociétés de sécurité concernant la découverte d’une nouvelle version de BlackPOS. Le 29 août, Trend Micro publié un article de blog déclarant qu’il avait identifié une toute nouvelle variante de BlackPOS dans la nature qui ciblait les comptes de détail. Trend a déclaré que la version mise à jour, qu’elle avait repérée pour la première fois le 22 août, arborait quelques nouvelles fonctionnalités notables, notamment une capacité améliorée à capturer les données de la carte à partir de la mémoire physique des appareils de point de vente infectés. Trend a déclaré que la nouvelle version possède également une fonctionnalité qui déguise le logiciel malveillant en tant que composant du produit antivirus exécuté sur le système.
Trend note que la nouvelle variante BlackPOS utilise une méthode similaire pour décharger les données de cartes volées comme la version utilisée dans l’attaque sur Target.
« Dans l’une des plus grandes violations de données[es] nous l’avons vu en 2013, les cybercriminels à l’origine ont d’abord déchargé les données collectées sur un serveur compromis, tandis qu’un autre logiciel malveillant exécuté sur le serveur compromis les a téléchargées sur le FTP », a écrit Trend’s Rhena Inocencio. « Nous supposons que ce nouveau malware BlackPOS utilise la même tactique d’exfiltration. »
Une recherche sur Internet sur la signature unique de « hachage » du logiciel malveillant notée dans la rédaction du logiciel malveillant de Trend indique que la nouvelle version de BlackPOS a été créé le 22 juin 2014et que jusqu’au 15 août 2014, seul un des plus de deux douzaines d’outils anti-malware (McAfee) l’a détecté comme malveillant.
MALWARE ANTI-AMÉRICAIN
D’autres indices dans la nouvelle variante du logiciel malveillant BlackPOS suggèrent en outre un lien entre les cybercriminels à l’origine de la brèche apparente chez Home Depot et les pirates qui ont frappé Target. La nouvelle variante BlackPOS comprend plusieurs chaînes de texte intéressantes. Parmi ceux-ci figurent cinq liens vers des sites Web présentant du contenu sur le rôle de l’Amérique dans les conflits étrangers, en particulier en Libye et en Ukraine.
Trois des liens pointent vers des informations, des articles éditoriaux et des caricatures qui accusent les États-Unis de fomenter la guerre et les troubles au nom de la démocratie en Ukraine, en Syrie, en Égypte et en Libye. L’une des images montre quatre cocktails Molotov avec les drapeaux de ces quatre nations sur les bouteilles, à côté d’une boîte d’allumettes ornée du drapeau américain et d’une allumette prête à frapper. Un autre lien mène à une image du conflit armé actuel en Ukraine entre les forces ukrainiennes et les séparatistes pro-russes.
C’est intéressant compte tenu de ce que nous savons de Rescator, la personne principalement responsable de la gestion du magasin qui vend toutes ces cartes de crédit et de débit volées. À la suite de la violation de Target, j’ai retracé une longue liste d’indices des différentes identités en ligne de Rescator jusqu’à un jeune programmeur d’Odessa, en Ukraine. Dans ses nombreuses personnalités, Rescator s’est identifié comme un membre de le forum sur la cybercriminalité de Lampeduzaet c’est d’ailleurs sur ce site qu’il alerte les clients sur les nouveaux lots de cartes volées.
Comme je l’ai découvert dans mon profil de Rescator, lui et son équipage semblaient quelque peu séduits par le défunt dirigeant libyen despotique. Mouammar Kadhafi, bien qu’ils préfèrent l’orthographe phonétique de son nom. Le site Internet kadhafi[dot]hk faisait partie des quatre principaux magasins de cardage gérés par l’équipage de Rescator (il a depuis été retiré et fusionné avec Rescator[dot]cc). Le domaine kadhafi[dot]me a été configuré pour servir de serveur de messagerie instantanée Jabber pour les cyber-escrocs, annonçant son manque de journalisation et de tenue de registres comme une raison pour laquelle les escrocs devraient faire confiance à kadhafi[dot]moi pour gérer leurs communications privées en ligne.
Lorsque j’ai contacté Rescator en décembre dernier pour obtenir des commentaires sur mes conclusions sur son rôle apparent dans l’effraction de Target, j’ai reçu une réponse par message instantané de l’adresse Jabber « kaddafi@kaddafi[dot]moi » (dans cette conversation, la personne qui discutait avec moi depuis cette adresse m’a proposé de me payer 10 000 $ si je ne publiais pas cette histoire ; j’ai refusé). Mais j’ai aussi découvert que Kadhafi[dot]me domain était une sorte de blog qui hébergeait une propagande anti-américaine dure et franchement effrayante.
L’intégralité du manifeste en trois parties posté sur le kadhafi[dot]La page d’accueil de moi n’est plus disponible, mais un extrait traduit par des professionnels de cette tirade se lit comme suit :
« Le mouvement de notre République, l’idéologie de Lampeduza – est l’opposition aux pays occidentaux, visant principalement le rétablissement de l’équilibre des forces dans le monde. Après l’effondrement de l’URSS, nous avons perdu ce fragile équilibre face à la planète. Nous – le Sénat et les hauts dirigeants de la République ne luttons pas seulement pour notre survie et notre place au soleil, nous sommes animés par l’idée ! L’idée, qui nous habite tous, de restituer grain par grain tout ce qui a été volé et pris à nos pays amis ! Nous luttons pour une bonne cause ! Le sang chaud coule en nous, en citoyens, qui veulent changer la donne dans le monde. Nous ne nous plions pas aux opinions et aux désirs des autres et donnons une réponse adéquate au mondialisme occidental. Il est essentiel d’être un combattant pour la justice!
Peut-être vivrions-nous complètement différemment maintenant, s’il n’y avait pas eu le plan d’Allen Dulles, et si l’Amérique n’avait pas investi des milliards dans l’effondrement de l’URSS. Nous avons été privés d’une patrie commune, mais pas privés d’unité, avons trouvé nos frontières et sommes encore plus proches les uns des autres. Nous avons vu les principes évidents du capitalisme, où l’homme pour un homme est un loup [[see here for more context on this metaphor]]. Ensemble, nous pouvons faire beaucoup pour ramener toutes les choses dont nous avons été privés à cause de l’Amérique ! Nous serons entendus !
Citoyens de Lampeduza – « peintres libres » prêts à créer et à vivre l’idée pour le bien de la Patrie – plions-les d’abord, puis insérons plus profondément !!!