Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé Botnet. Afficher tous les messages
Aucun message portant le libellé Botnet. Afficher tous les messages

lundi 20 décembre 2021

Selon Google, Dmitry Starovikov et Alexander Filippov responsables du botnet blockchain Glupteba

 

 

Selon Google, Dmitry Starovikov et Alexander Filippov responsables du botnet blockchain Glupteba

 

 

Google s'attaque au botnet blockchain Glupteba

Sécurité : Selon Google, le botnet compte actuellement environ un million d'appareils Windows compromis dans le monde entier et se développe parfois au rythme de milliers de nouveaux appareils par jour.

Google a annoncé ce matin avoir perturbé l'infrastructure de commande et de contrôle de Glupteba, un botnet adossé à la blockchain, utilisé pour cibler des appareils sous Windows.

Le vice-président de Google chargé de la sécurité, Royal Hansen, et la juriste Halimah DeLaine Prado ont annoncé dans un billet de blog mardi que le groupe d'analyse des menaces de la société (Threat Analysis Group, TAG) suivait Glupteba depuis des mois.

Ils ont décidé de prendre des mesures techniques et juridiques contre le groupe.

Une procédure juridique pour entraver les opérateurs

Google a déposé plainte contre le botnet, dans l'espoir de « créer une responsabilité juridique pour les opérateurs du botnet et de contribuer à dissuader toute activité future ».

« Après une enquête approfondie, nous avons déterminé que le botnet Glupteba implique actuellement environ un million d'appareils Windows compromis dans le monde entier, et se développe parfois à un rythme de milliers de nouveaux appareils par jour », écrivent-ils.

« Glupteba est connu pour voler les identifiants et les données des utilisateurs, pour miner des cryptomonnaies sur les hôtes infectés et pour mettre en place des proxys afin de canaliser le trafic internet d'autres personnes via des machines et des routeurs infectés. »

Google note que, bien qu'il a été en mesure de perturber l'infrastructure de commande et de contrôle de Glupteba, ses actions peuvent s'avérer temporaires, compte tenu de « l'architecture sophistiquée du groupe et des actions que ses organisateurs ont prises pour maintenir le botnet, mettre à l'échelle ses opérations et mener des activités criminelles à grande échelle ».

Ils estiment que l'action en justice contribuera à compliquer les actions futures des opérateurs du botnet. L'action en justice cite directement Dmitry Starovikov et Alexander Filippov parmi les opérateurs, mais note que d'autres acteurs inconnus sont impliqués.

L'action en justice a été initiée à New York, et les deux personnes citées sont poursuivies pour fraude et abus informatiques, violation de marque déposée, et plus encore. Google a également demandé une ordonnance restrictive temporaire, dans le but de « créer une véritable responsabilité juridique pour les opérateurs » du botnet.

Des milliers de téléchargements par jour

Mais Google rappelle également que l'utilisation par le groupe de la technologie blockchain a rendu le botnet plus résilient. Il ajoute que davantage d'organisations cybercriminelles profitent de la technologie blockchain, qui permet aux botnets de se rétablir plus rapidement en raison de leur nature décentralisée.

Shane Huntley et Luca Nagy, membres du groupe d'analyse des menaces de Google, ont expliqué dans un billet de blog que Glupteba est connu pour voler les identifiants et mots de passe des utilisateurs et les cookies, miner des cryptomonnaies sur les hôtes infectés, déployer et exploiter des composants proxy ciblant les systèmes Windows et les objets connectés.

« Le TAG a observé le botnet, qui cible des victimes dans le monde entier, et notamment aux Etats-Unis, en Inde, au Brésil, au Vietnam et en Asie du Sud-Est. La famille de logiciels malveillants Glupteba est principalement distribuée par le biais de réseaux de paiement par installation (PPI) et via le trafic acheté auprès de systèmes de distribution de trafic (TDS) », explique l'équipe de Google.

« Pendant un certain temps, nous avons observé des milliers d'instances de téléchargements malveillants de Glupteba par jour. L'image suivante montre une page web imitant la page de téléchargement d'un crack logiciel qui délivre une variante de Glupteba aux utilisateurs au lieu du logiciel promis. »

L'équipe TAG et d'autres employés de Google ont bloqué environ 63 millions de Google Docs ayant distribué Glupteba, 1 183 comptes Google, 908 projets Google Cloud et 870 comptes Google Ads associés à la distribution de ce malware. Environ 3,5 millions d'utilisateurs ont été alertés avant de télécharger un fichier malveillant grâce à Google Safe Browsing, selon Shane Huntley et Luca Nagy.

Le botnet s'appuie sur la blockchain

Les chercheurs ont également indiqué avoir travaillé avec CloudFlare sur les efforts de perturbation. Dans le cadre de son enquête, Google a utilisé les produits et services d'investigation Chainalysis pour enquêter sur le botnet.

Erin Plante, directrice principale des services d'enquête de Chainalysis, explique à ZDNet que le botnet a deux principaux liens avec les cryptomonnaies : le recours au cryptojacking, et une tactique nouvelle visant à complexifier les opérations de démantèlement.

Selon elle, Glupteba utilise également la blockchain Bitcoin pour encoder les serveurs de commande et de contrôle (C2) mis à jour dans les champs Op_Returns des transactions enregistrées sur la blockchain. Cela signifie que chaque fois que l'un des serveurs C2 de Glupteba est fermé, il suffit aux ordinateurs infectés de scanner la blockchain pour trouver la nouvelle adresse de domaine du serveur C2, qui est ensuite dissimulée parmi les centaines de milliers de transactions Bitcoin quotidiennes dans le monde.

La plupart des techniques de démantèlement de botnets impliquent la désactivation des domaines de serveurs C2, ce qui rend cette tactique particulièrement difficile à contrer. Erin Plante indique qu'il s'agit du premier cas connu d'un botnet utilisant cette approche. La société Akamai avait pourtant détaillé une variante de cette technique en février 2021, qui exploitait déjà la blockchain pour récupérer les adresses IP des serveurs de contrôle du botnet.

Erin Plante ajoute que l'enquête a révélé des transactions de cryptomonnaies provenant de Federation Tower East, un immeuble de bureaux de luxe situé à Moscou qui abrite le siège de nombreuses entreprises de cryptomonnaies connues pour blanchir des fonds criminels.

Source : ZDNet.com

 

REF.:   https://www.zdnet.fr/actualites/google-s-attaque-au-botnet-blockchain-glupteba-39933793.htm?utm_source=NL_cybersecurite&utm_medium=email&utm_campaign=ZD_NL_cybersecurite&utm_content=&utm_term=20211220

mardi 17 mars 2020

Microsoft fait tomber le botnet Necurs



Microsoft fait tomber le botnet Necurs

Sécurité : Apparu en 2012, Necurs est considéré comme le plus important botnet de spam et de diffusion de malwares.

En coordination avec des partenaires dans 35 pays (FAI, éditeurs de cybersécurité, registrars, CERT, forces de l’ordre), Microsoft a orchestré le démantèlement de Necurs, considéré comme l’un des plus importants botnets de spam et de logiciels malveillants connus à ce jour, dont on pense qu'il a infecté plus de neuf millions d'ordinateurs dans le monde depuis son apparition en 2012. 
La manoeuvre a pu aboutir après que l’équipe a réussi à casser l'algorithme de génération de domaines du botnet, le composant qui génère des noms de domaines aléatoires. Cet outil au coeur du dispositif sert à enregistrer les domaines plusieurs semaines ou mois à l’avance pour y héberger les serveurs de commande et de contrôle qui peuvent ainsi migrer et échapper aux interceptions. 
publicité
Microsoft et ses partenaires ont pu créer une liste complète des futurs domaines de serveurs Necurs et les bloquer préventivement. “Nous avons alors pu prévoir avec précision plus de six millions de domaines uniques qui seraient créés au cours des 25 prochains mois", a expliqué Tom Burt, vice-président de Microsoft chargé de la sécurité et de la confiance clients. 
Dernière étape de cette opération, Microsoft est en train de travailler avec les FAI et les équipes CERT dans les pays concernés pour avertir les utilisateurs dont les ordinateurs ont été infectés par le malware. (Eureka Presse)

jeudi 26 septembre 2019

Chevaux de Troie bancaires


Chevaux de Troie bancaires

Le botnet Emotet revient à la vie


banque, Hackers, Botnet, cyberattaques, malware,
 
 
 
 
Sécurité : Le botnet Emotet, souvent considéré comme l’un des plus dangereux, reprend ses opérations après avoir été silencieux pendant près de quatre mois.

Emotet, l’un des botnets de logiciels malveillants les plus importants du moment, a repris vie après une période d’inactivité de près de quatre mois à compter de la fin du mois de mai de cette année.
Durant cette période, les serveurs de commande et de contrôle (C&C) du réseau d’ordinateurs infectés avaient été arrêtés et Emotet a cessé d’envoyer des commandes aux machines infectées, ainsi que de diffuser nouvelles campagnes de spam par courrier électronique pour infecter de nouvelles victimes.
Certains chercheurs en sécurité espéraient que les forces de l'ordre avaient secrètement trouvé un moyen de bloquer ce botnet. Ce n'était pas le cas.

Nouvelles campagnes de spam

Emotet a commencé à diffuser de nouveaux spams hier selon Raashid Bhat, chercheur en sécurité chez SpamHaus.
Selon Bhat, les e-mails contenaient des pièces jointes malveillantes ou des liens vers des pages contenant des téléchargements malveillants. La campagne de spam lancée hier via Emotet vise principalement des utilisateurs polonais et germanophones.
Les utilisateurs qui reçoivent ces courriels, téléchargent et exécutent l’un des fichiers malveillants s’exposent au risque d’être infectés par le programme malveillant Emotet.
Une fois infectés, les ordinateurs sont ajoutés au botnet Emotet. Le malware Emotet sur les ordinateurs infectés est notamment utilisé pour télécharger et installer d’autres programmes malveillants.
Emotet est connu pour fournir des modules capables d'extraire les mots de passe d'applications locales, de se déplacer et d’infecter d'autres ordinateurs du même réseau, et même de voler des thread d'emails complets pour les réutiliser ultérieurement dans des campagnes de spam.
En outre, les opérateurs d’Emotet sont également connus pour proposer leur botnet en tant que Malware-as-a-Service (MaaS) : d'autres gangs criminels peuvent louer l'accès à des ordinateurs infectés par Emotet et diffuser leurs propres programmes malveillants aux côtés d'Emotet.
Certains des clients les plus connus d’Emotet sont les opérateurs des souches de ransomware Bitpaymer et Ryuk, qui ont souvent loué l’accès à des hôtes infectés par Emotet pour infecter des réseaux d’entreprise ou des administrations locales avec leurs ransomwares.

Le réveil d'Emotet était attendu

Le renouveau d’Emotet n’est pas une surprise totale pour les chercheurs en sécurité. Les serveurs C&C d’Emotet sont devenus inactifs à la fin du mois de mai, mais ils ont repris vie à la fin du mois d’août.
Ils n'ont néanmoins pas commencé à envoyer du spam tout de suite. Au cours des dernières semaines, les serveurs C&C étaient restés inactifs, diffusant des fichiers binaires pour les modules "déplacement latéral" et "vol de justificatifs d'identité", a déclaré Bhat à ZDNet au cours d'une interview.
Bhat pense que les opérateurs d’Emotet ont passé ces dernières semaines à rétablir les communications avec des appareils précédemment infectés qu'ils avaient abandonnés fin mai et à se répandre sur les réseaux locaux afin de maximiser la taille de leur botnet avant de passer à leur activité principale : l’envoi de spam.
Plusieurs chercheurs en sécurité ont prédit cette période de montée en puissance le mois dernier, lorsque l'équipe Emotet a réactivé les serveurs C&C.
Le fait que les opérations d'Emotet aient été interrompues pendant quelques mois n'est pas vraiment une nouveauté. Les réseaux botnets malveillants restent souvent inactifs pendant des mois pour différentes raisons.
Certains botnets deviennent silencieux afin de procéder à la mise à niveau de leur infrastructure, tandis que d'autres le font simplement parce que leurs opérateurs prennent des vacances. Par exemple, le botnet Dridex diminue régulièrement son activité chaque année entre la mi-décembre et la mi-janvier, pour les vacances d'hiver.
À l’heure d’écrire cet article, on ne sait pas pourquoi Emotet s'est arrêté pendant l'été. Néanmoins, le botnet est revenu à son état précédent, continuant de fonctionner en utilisant un modèle d'infrastructure double basé sur deux botnets distincts.

TrickBot veut la couronne

Mais même si Emotet a mis fin à ses activités pendant près de quatre mois, les autres botnets n'ont pas fait de pause. Pendant qu’Emotet était en panne, les opérateurs du botnet TrickBot ont pris la place du botnet le plus actif du marché.
Emotet et TrickBot partagent de nombreuses similitudes. Tous deux étaient à l’origine des chevaux de Troie bancaires qui ont été recodés pour être utilisés en tant que « dropper » de logiciels malveillants - des logiciels malveillants téléchargeant d’autres logiciels malveillants.
Les deux infectent les victimes, puis téléchargent d'autres modules pour voler des informations d'identification ou se déplacer latéralement sur un réseau. En outre, ils vendent tous deux l'accès aux machines infectées à d'autres groupes malveillants, pour des opérations de minage de cryptomonnaie ou des attaques de ransomware.
Avec l’essor de Trickbot, le réveil d’Emotet est une mauvaise nouvelle pour les administrateurs système chargés de la protection des réseaux d’entreprise et gouvernementaux, cibles favorites des deux botnets.
Les chercheurs en sécurité et les administrateurs système cherchant des hashs de fichiers, des adresses IP de serveur, des lignes d'objet d'e-mails de spam et d'autres indicateurs de compromission (IOC) peuvent trouver ces données sur Twitter. Cryptolaemus, un groupe de chercheurs en sécurité surveillant le botnet Emotet, a également publié des indicateurs de compromission destinés à ceux qui souhaitent se protéger.
Source : Emotet, today's most dangerous botnet, comes back to life 

REF.:

samedi 24 mars 2018

Le maître d’un puissant botnet identifié et arrêté au Bélarus



Ar3s, le maître présumé d'Andromeda, l'un des plus puissants et des plus anciens botnets de la Toile, a été arrêté fin novembre au Belarus. Il a fallu, pour l'identifier et l'arrêter, la collaboration pendant de longs mois des plus puissantes agences anti-crimes de la planète.

En 6 ans, Andromeda a contaminé plus de 2 millions de machines, et a permis de bâtir plus de 400 botnets.

Trahi par ICQ


Il aura fait courir le FBI, Europol, et toutes les sociétés de cybersécurité de la planète pendant plusieurs années. Les autorités du Bélarus viennent d'annoncer lundi 4 décembre l'arrestation du maître présumé d'Andromeda, le kit logiciel à l'origine d'un gigantesque réseau de botnets qui avaient réduit à l'état d'esclave plus de 2 millions de machines dans 223 pays.

Le maître en question est un certain Sergey Jarets, 33 ans, directeur technique d'une chaîne de télé régionale bélarusse. Mais derrière cette activité légale, Sergey était aussi Ar3s, une figure respectée de l'underground criminel du Net. C'est sa présence sur de nombreux forums whitehat, notamment son identifiant ICQ, qui a permis aux enquêteurs de remonter sa piste.



Un champion de la dissimulation


Andromeda, connu aussi sous le nom de Gamarue, restera comme son chef-d'oeuvre : il s'agit en fait d'un kit couteau-suisse permettant de bâtir des malwares sur mesure. Ses plug-ins permettaient pour 150 dollars de transformer Andromeda en keylogger (collecteur de frappes de clavier), de prendre le contrôle de la machine infectée et de la transformer en serveur de diffusion de malwares. C'est cette fonctionnalité qui a fait le succès d'Andromeda, devenu l'agent de contamination de 464 botnets autour de nombreuses attaques en déni de service. On retrouve Andromeda à la racine de plus de 80 familles de virus en tous genre : rançongiciels (Petya ou Cerber), des diffuseurs de spams, trojans (chevaux de Troie), etc.

Andromeda avait aussi la particularité d'être sélectif : il épargnait volontairement les machines localisées en Russie, Ukraine, Kazakhstan et... Belarus. Sournois, il s'effaçait de lui-même s'il repérait un antivirus, et contournait aisément les firewalls et les mises à jour Windows. Andromeda porte aussi bien son nom, car c'est véritablement une constellation de 1.200 domaines et adresses IP que les autorités ont identifiés comme postes de contrôle des machines infectées. Rien que sur les 6 derniers mois, Microsoft en a identifié plus d'un million.

REF.: Modifié le 14/02/2018 à 17h02
 
 
 

Satori, le botnet qui transforme vos objets connectés en zombies



Depuis le mois de décembre, les experts en cybersécurité regardent avec inquiétude grossir à toute vitesse un botnet baptisé Satori. Ce dernier s'ajuste en permanence aux contre-mesures, et a la particularité de se loger dans tout objet mal protégé et connecté à Internet.

Parmi les cibles favorites de Satori, les thermostats, les TV connectées, les systèmes d'infotainment dans les voitures, mais surtout les routeurs. Une fois massif, le botnet pourrait servir à des attaques en déni de service (DDoS).


Déjà 40.000 zombies


En japonais, son nom signifie illumination, compréhension, éveil. Une notion d'une haute valeur philosophique, bien loin des objectifs et des méthodes du malware baptisé Satori. Repéré en décembre dernier, ce code malicieux se loge dans toutes sortes d'objets connectés au Net et les asservit, tels des zombies, pour constituer un puissant botnet, une armée de machines à la main de son ou ses maîtres.

Satori n'est pas encore très gros : il aurait sous sa coupe environ 40.000 appareils, mais il grandit vite. Les experts observent avec inquiétude la discipline de son ou ses auteurs, qui modifient régulièrement leur tactique d'infection. Le moment venu, Satori pourrait servir à expédier des millions de spams, ou noyer sous des requêtes simultanées venant de chaque objet infecté les serveurs d'une compagnie, d'un hébergeur ou d'une institution.

01f4000008745214-photo-pixabay-s-curit-internet-virus.jpg


Le digne héritier de Mirai


Des pans entiers du code source de Satori sont identiques à celui de Mirai, un botnet qui paralysa en 2016 plusieurs structures critiques du web en Amérique du Nord. L'attaque de Mirai fit tomber notamment Twitter, les sites d'Airbnb et du New York Times. Au faîte de sa gloire, Mirai enrôlait des centaines de milliers de routeurs, de webcam, et de toutes sortes d'objets connectés corrompus.

Les trois auteurs de Mirai ont été arrêtés mi-décembre par le FBI, mais leur créature a ouvert la voie à d'autres. Pour se protéger de Satori, plusieurs mesures s'imposent : changer tout d'abord les mots de passe par défaut de vos objets connectés, et les mettre à jour si l'éditeur vous le propose. Si votre bande passante baisse, vous pouvez demander une vérification à votre FAI. Satori a la particularité de se propager rapidement à tous les objets d'un même réseau, notamment domestique.

mardi 17 octobre 2017

On décortique Zeus, le malware le plus hardcore jamais découvert







Virus, malware, trojan, ver… plein de noms pour plein de saloperies différentes.
Les différences entre tous ces trucs peuvent paraître un peu subtiles, mais si vous vous intéressez au hacking, vous devez les connaître. Pour faire simple :
  • Un virus vient généralement se greffer à un logiciel ou un fichier qui semble légitime (du genre la suite Office que vous venez de pirater en torrent parce que vous n’avez pas envie de la payer). Dans une bonne majorité de cas, le virus va détruire ou ralentir votre système. Pour l’anecdote, les virus type “ransomwares” ont la cote depuis quelques années. Ce sont des saloperies qui vous obligent à payer une belle somme pour récupérer l’accès à toutes vos données !
    Un des plus célèbres ransomware : “Gendarmerie”. Il a fait des ravages.
  • Un ver, lui, n’infecte pas votre ordinateur en utilisant un fichier, comme le virus. Il squatte votre ordinateur en toute furtivité après avoir trouvé une faille pour s’infiltrer, et cherche à se diffuser à tous vos contacts (en envoyant des e-mails, des messages Skype ou des messages Facebook frauduleux à votre place par exemple).
    Un message sur Skype, écrit par un ver, qui incite votre contact à cliquer sur des liens pourris pour l’infecter
  • Et le cheval de Troie, qu’on appelle trojan en anglais. En soi, un trojan ne fait rien de mal. C’est un logiciel qui ne sert qu’à faire rentrer le vrai danger sur votre ordi. Vous ouvrez souvent la porte à des trojans quand vous piratez des logiciels (par exemple Photoshop, Office, …). Une fois le trojan bien au chaud sur votre ordi, il va pouvoir télécharger ce qu’on appelle “la charge utile”. C’est la partie du malware qui va réellement espionner et pourrir votre machine.
    “Comment ça un trojan sur mon ordi ? Mais non, moi je suis juste entrain de pirater Photoshop, c’est safe.”
Dans cet article, nous allons analyser le plus célèbre des trojans de ces dernières années : Zeus. Ses maîtres ont infecté plus de 3 millions d’ordinateurs entre 2011 et 2014. Soit environ 3000 nouveaux ordinateurs par jour, chaque jour, pendant 3 ans. C’est juste monstrueux.
Nous allons découvrir ensemble :
  • À quoi sert Zeus, et comment il a pu rapporter plus de 100 millions de dollars à sa mafia ?
  • Comment Zeus se propageait d’un ordi à l’autre, en utilisant des méthodes révolutionnaires ?
  • Comment la mafia derrière Zeus blanchissait l’argent volé par le malware en Russie ?
  • Comment le FBI a fait tomber cet immense réseau, et quelques potins suite à toute cette affaire ?
Let’s go.

À quoi sert Zeus en pratique ?

Il ne sert en théorie qu’à une seule chose : piquer vos numéros de cartes bancaires ou retirer directement de l’argent depuis votre compte.
Mais en pratique, il était truffé de fonctionnalités additionnelles assez cool pour les pirates. Une fois infecté, votre ordinateur faisait partie ce qu’on appelle un botnet, c’est-à-dire une flotte d’ordinateurs infectés et complètement sous l’emprise d’un pirate.
Un pirate pouvait donc :
  • Recevoir tout ce qui était tapé au clavier de l’ordinateur de la victime ;
  • Prendre des captures d’écran à intervalle de temps régulier ;
  • Récupérer toutes les données présentes sur l’ordinateur ;
  • Utiliser l’ordinateur vérolé pour lancer des attaques ou envoyer du spam (on y reviendra), et propager un peu plus le virus.
Tout ça a été découvert après coup, mais ce sont surtout les numéros de cartes bancaires qui intéressaient les maîtres de Zeus. Le reste, c’est soit du gadget, soit un moyen détourné pour obtenir plus de cash.

Qui est derrière Zeus ?

 Evgueni Bogatchev

On a le nom du gars : Evgueni Bogatchev. Et même des photos, diffusées par le FBI :
Evgueni est Russe. Il a aujourd’hui 34 ans, et il a commencé à développer Zeus alors qu’il avait 25 ans. Les chercheurs en sécurité sont d’accord sur un point : ce type était très en avance sur les principaux antivirus. C’est ce qui a rendu Zeus si fou. Grâce à Zeus, Evgueni a généré 100 millions de fraude en 3 ans.
Le FBI a fait tomber tout le réseau mafieux qui opérait derrière Zeus en 2014. C’est ce qui nous permet, aujourd’hui, d’avoir beaucoup d’infos sur l’envers du décor ! Malheureusement, Evgueni lui, est toujours en cavale. Si vous avez des infos, le FBI peut vous offrir 3 millions de dollars… on ne sait jamais.

On part de zéro : comment se fabrique un virus comme Zeus ?

Juste avec 2 choses simples : un ordinateur et un gars malin. Le reste, c’est du développement. On développe un virus comme on développe n’importe quel logiciel honnête : il faut écrire du code informatique. 
Si ça vous intéresse, le code de Zeus a fuité et il est disponible intégralement ici. Ça a permis aux chercheurs de mieux comprendre son fonctionnement. Et ça a aussi permis à d’autres pirates de prendre la relève malheureusement.
Un exemple d’un des fichiers de code de Zeus (écrit principalement en C++).
Le truc, c’est que les développeurs, c’est comme les chasseurs : il y a le bon codeur, et le mauvais codeur. Et le créateur de Zeus, bah c’était un très bon codeur. Il a su développer des ruses suffisamment révolutionnaires pour permettre à son virus de passer incognito devant tous les antivirus du marché.

Une fois que le virus est créé, comment il est diffusé ?

Là, ça devient marrant ! Les développeurs d’un malware comme Zeus vont le commercialiser et le vendre à d’autres criminels.  Zeus coûtait entre 3000$ et 4000$ à l’achat sur le marché noir.
Pour acheter un malware au black, il n’est pas nécessaire d’aller dans un coin glauque de votre ville, et d’attendre qu’un gars vous vende un CD… tout se passe sur Internet, plus précisément sur un darknet (nous y reviendrons dans un autre article).
Une fois qu’un criminel ou qu’un groupe de criminel a acheté le code du malware et tout le bazar qui va avec, ils ont besoin d’installer un serveur de commande. C’est à dire un serveur qui permettra de contrôler leur futur flotte d’ordinateurs infectés.

Comment on fait pour louer un serveur ?!

Aujourd’hui, tout le monde peut louer un petit serveur pour à peine 3$ par mois. D’ailleurs, la page que vous lisez est hébergée sur un serveur que l’on paie et qui est situé au Pays-Bas. Nous payons chaque mois l’entreprise “Digital Ocean” pour prendre soin de notre serveur et nous permettre d’y héberger notre site.
Mais si je commence à utiliser mon serveur pour des activités criminelles, Digital Ocean va vite s’en rendre compte et va au mieux me dégager, au pire me dénoncer à la police. Du coup, comment trouver un serveur bien caché pour commettre un crime ?!
Toujours pareil : on va trouver ça sur le marché noir. Des mecs proposent de vous louer un serveur loin de toute juridiction, très souvent en Russie ou en Chine. Ces serveurs s’appellent des “bulletproof” 
(“à l’épreuve des balles”).
Une petite annonce d’une location de serveur bulleproof sur un darknet (source : Malwarebytes). On y lit que tout est autorisé, sauf la pédophilie.
Une fois que vous avez loué votre serveur bulletproof, vous y installez le centre de commande. Voilà à quoi ressemble l’interface de commande de Citadel, un célèbre spyware (logiciel espion) :
Rien de dingue, c’est une interface comme une autre. On peut y lister tous les ordinateurs que l’on a infectés, faire de la fouille de données, et lancer des opérations pour ceci ou cela.
Une fois le centre de commande installé, il ne reste plus qu’à infecter un max de victimes.

Next ! Comment infecter les millions de victimes ?

Un peu comme d’habitude : soit vous faites le sale travail vous même, soit vous le confiez à d’autres. Beaucoup de cyber-mafias mettent au point des systèmes d’affiliation pour diffuser leurs saloperies. En gros : vous piratez des gens pour eux, et ils vous paient en retour.
Je n’ai pas réussi à savoir si les groupes criminels qui utilisaient Zeus fonctionnaient de cette manière. Mais peu importe ! Ils utilisaient le même vecteur de propagation : l’e-mail.
Dans l’immense majorité des cas, les victimes recevaient un e-mail frauduleux de leur banque, de leur opérateur téléphonique ou d’un réseau social qui leur signalait un avis de paiement, une facture impayée ou un problème quelconque.
Chacun de ces emails était orné d’une pièce jointe intitulée par exemple : “Avis_de_paiement.zip”. Une fois le fichier téléchargé et exécuté, le trojan s’installait en douce sans éveiller les soupçons des antivirus, et téléchargeait la charge utile.
Un exemple de faux mail contenant Zeus
Un exemple de faux mail contenant le trojan de Zeus

Mais comment envoyer des millions d’e-mail frauduleux sans être inquiété par la police ?!

Bonne question, Watson. Là encore, les pirates sont malins. Un groupe de hackers russes a créé en 2007 un botnet appelé “Cutwail”. Vous pouvez louer ce botnet par exemple pendant une journée, et vous en servir pour envoyer des spams.
Autrement dit : ces gars ont piraté environ 2 millions d’ordinateurs dans le monde, et ils vous proposent d’utiliser ces 2 millions d’ordinateurs pour expédier jusqu’à 70 milliards d’e-mails par jour. 70. Milliards.
Autant vous dire que si vous comptiez utiliser votre adresse gmail “ptitpoussin69@gmail.com” pour organiser le crime du siècle, c’est raté. Gmail limite d’ailleurs à 2000 le nombre d’envois quotidiens, et vous vire rapidos s’il détecte que vous envoyez des trucs illégaux.
Bref, les victimes recevaient un email, l’ouvraient, téléchargeaient la pièce-jointe et boum, hacked.

Mais pourquoi les antivirus ne détectaient pas Zeus ?!

Pour plusieurs raisons. D’abord, Zeus exploitait des failles de Windows pour s’installer en silence. En développant Windows, les ingénieurs de Microsoft ont fait des erreurs que les criminels exploitent. Microsoft a beau sortir des correctifs presque chaque jour, et les éditeurs de logiciels ont beau travailler dur, il y a toujours des trous dans leurs défenses.
Ensuite, la pièce jointe contenue dans l’email frauduleux n’était pas la charge active elle-même. Comme je le disais au début, un trojan fonctionne en deux temps :
  1. Vous téléchargez le trojan, le cheval de Troie, qui se fait passer pour un fichier ou un logiciel sympa (ici un fichier “avis_de_paiement.zip” par exemple).
  2. Une fois bien au chaud, le trojan va se connecter au serveur de contrôle des criminels et télécharger la charge active, c’est à dire le cœur du malware, celui qui fait les bêtises.
Votre ordinateur récupérait Zeus sur un serveur, dans votre dos.
Votre ordinateur récupérait Zeus sur un serveur, dans votre dos, grâce à Internet.
Pourquoi fonctionner comme ça, alors que le plus simple serait d’installer directement la charge active ?
Première raison : en téléchargeant Zeus de cette manière, les victimes étaient toujours infectées avec la dernière version du virus. Son créateur l’améliorait presque chaque jour pour le rendre plus efficace, alors c’était important.
La deuxième raison, c’est pour que chaque victime reçoive une version différente du malware. Tous les fichiers présents sur votre ordinateur ont leur propre signature. Une signature de fichier, c’est un peu l’empreinte digitale d’un fichier. Les logiciels malveillants sont des fichiers comme les autres, ils ont aussi une signature ! Le job des antivirus, c’est de connaître un maximum “d’empreintes digitales” de malwares pour mieux les détecter sur votre ordinateur.
Un antivirus contient une "base de données" de virus. Leur but : connaître un maximum de virus pour mieux les bloquer.
Un antivirus contient une “base de données” de virus. Leur but : connaître un maximum de virus pour
 mieux les bloquer.
En se téléchargeant comme le faisait Zeus, sa signature pouvait être différente à chaque fois. Résultat : les antivirus avaient beaucoup de mal à l’identifier sur l’ordinateur des victimes.
Chaque victime recevait une version presque unique de Zeus, que les antivirus avaient du mal à détecter.
Chaque victime recevait une version presque unique de Zeus, que les antivirus avaient du mal à détecter.
Une fois que la charge active est installée sur votre ordinateur, vous êtes un peu cuit-e.

Que se passe-t-il dans l’ordinateur des victimes ?

Une fois installé sur un ordinateur, Zeus scanne le disque dur à la recherche d’infos bancaires stockées quelque part. S’il ne trouve rien, il attend patiemment que vous manipuliez des informations bancaires. Paiement par carte, connexion à votre banque : il prend tout ce qu’il trouve.
Zeus attend une transaction bancaire.
Zeus attend une transaction bancaire.
Une fois les infos récupérées, Zeus se connecte à un serveur “maître” contrôlé par l’un des criminels du réseau, et lui transfère vos codes.
Parallèlement, Zeus va être capable d’ouvrir une session bancaire depuis votre ordinateur sur le site de votre banque – sans que vous ne vous en rendiez compte – et émettre des virements sur des comptes à l’étranger. C’est à dire des comptes bancaires situés dans des pays comme l’Ukraine, la Chine ou la Russie. L’argent pourra suivre différents parcours, mais terminera toujours son voyage en Chine dans le cas précis de Zeus.

Mais qui récupère l’argent volé ?!

Après son petit périple à travers différents comptes en banque pour brouiller les pistes, l’argent volé est récupéré par une mule bancaire. Les comptes bancaires étaient principalement situés en Chine, à la frontière Russe, dans la province de Heilongjiang.
Chaque groupe de criminels utilisant Zeus devait donc aussi mettre en place sa propre infrastructure de fraude. Pas une mince affaire.
Chine / Russie
Les mules allaient ensuite retirer l’argent en cash à la banque, puis retournaient en Russie (souvent à Vladivostok) pour l’utiliser ou le blanchir dans l’économie locale. Elles étaient souvent payées à la commission sur les sommes qu’elles détournaient.

Mais si la police fait tomber le centre de commande, tout est réglé non ?

Théoriquement, oui. Si vous faites tomber le centre de commande des criminels, alors vous coupez la tête au monstre. Mais comme dans la légende de l’Hydre de Lerne, les meilleurs botnets ont des dizaines de centres de commande. Vous en détruisez un, les autres prennent le relais.
Et justement, c’est là que Zeus brillait. Sa structure réseau a révolutionné le genre.
Un malware lambda fonctionne comme sur l’image de gauche ci-dessous. Autrement dit, chaque ordinateur infecté est en relation avec un serveur de contrôle. Si la police fait fermer ce serveur, beaucoup d’ordinateurs infectés sont libérés instantanément. Bien sûr, ces serveurs de commande sont bien cachés.
À gauche, un virus "normal". À droite, Zeus.
À gauche, un logiciel malveillant “normal”. À droite, Zeus.
Zeus fonctionne différemment : chaque ordinateur infecté (donc le votre par exemple) devient un mini serveur de contrôle. Ce n’est plus un serveur “maître” qui donne les ordres à chaque victime, mais chaque victime qui distribue des ordres à d’autres victimes.
Résultat : les ordres sont dispersés, il est plus difficile d’en connaître la provenance et de les freiner.

Comment l’histoire de Zeus s’est-elle terminée ?

En 2014, le FBI aidé exceptionnellement par des policiers Russes (ainsi qu’une ribambelle d’autres pays et des dizaines d’entreprises de sécurité informatique) a réussi à mettre la main sur tout le réseau Zeus via l’opération Tovar.
Le botnet est aujourd’hui inactif, mais son créateur est toujours en cavale. Il est d’ailleurs considéré comme le hacker le plus recherché par les USA (la page Most Wanted du FBI est marrante).
L'immeuble où habitait la tête du réseau, en Russie
L’immeuble où habitait la tête du réseau, en Russie
Malheureusement, des versions modifiées de Zeus sont toujours en circulation dans la nature. Autre souci : le gouvernement russe refuse que d’autres états extradent des criminels russes aux USA. De là à imaginer un lien entre les cyber-criminels et le gouvernement… en tout cas pour le FBI, c’est évident.
Bref, l’opération Tovar était probablement un coup de pied nécessaire dans la fourmilière, mais ça ne suffira pas à rendre Internet tranquille bien longtemps. Voici quelques règles de bonne hygiène à suivre pour être tranquille :
  1. Votre anti-virus doit toujours être à jour. Même si les logiciels malveillants passent parfois à travers, une bonne partie des menaces peuvent être évitées.
  2. Ne téléchargez aucune pièce-jointe, surtout lorsque vous n’attendiez pas expressément un e-mail du destinataire dont il est question. Votre banque ne vous enverra jamais d’e-mails contenant des pièces jointes.
  3. Lorsque vous téléchargez un logiciel gratuit comme VLC par exemple, faites l’effort de toujours chercher le site officiel du créateur. Beaucoup de virus sont transmis via des faux sites de téléchargement. Quant aux logiciels que vous piratez, ben c’est bien fait pour vous si vous vous faites avoir
PS : j'ai écrit un livre sur l'art d'espionner et de pister les gens sur Internet. Il y a tout ce dont vous avez besoin dedans. Cliquez ici pour le voir et le télécharger.

REF.:

dimanche 2 avril 2017

Comment la CIA a pirater des téléviseurs intelligents Samsung




Voici comment la CIA a prétendu pirater des téléviseurs intelligents Samsung 
- et comment vous protéger:

Parmi les nombreux exploits de la CIA d'Apple, de Google et de la technologie de consommation de Microsoft dans le déploiement d'informations massif de Wikileaks d'aujourd'hui, c'était un projet particulièrement nouveau pour espionner les téléviseurs intelligents Samsung.Selon les fichiers hébergés par Wikileaks, les agents de la CIA ont nommé leur malware TV Weeping Angel qui semblait avoir été créé lors d'un atelier commun avec les homologues britanniques de l'agence, MI5, en 2014. Si les données déversées sont légitimes, Weeping Angel fonctionne comme une Application TV normale, pas différente de YouTube, mais en arrière-plan, capture d'audio mais pas de vidéo. Cependant, il peut également récupérer les touches Wi-Fi que la télévision utilise pour pirater le réseau Wi-Fi de la cible et accéder à tous les noms d'utilisateur et mots de passe stockés sur le navigateur de télévision, a expliqué Matthew Hickey, un chercheur en sécurité et cofondateur de Hacker House, un projet visant à encourager les jeunes à entrer dans la cybersécurité. Il y avait aussi une fonctionnalité intitulée «Fake Off» où le téléviseur continuerait à enregistrer même lorsque l'appareil serait éteint.Hickey, qui a examiné les notes de la CIA sur le projet, a déclaré qu'il semblait que les logiciels malveillants infiltrent le téléviseur via une clé USB, car les notes sur Wikileaks ont indiqué que les méthodes d'installation USB étaient désactivées dans un microprogramme spécifique. Il a dit, cependant, qu'il y a encore une chance que la CIA ait des techniques d'infection à distance."L'outil semble être en cours de développement. Les capacités qu'il possède ne peuvent pas actuellement capturer des vidéos, selon les documents divulgués. Mais c'est un objectif du projet. Il peut enregistrer de l'audio, mais il ne l'envoie pas en temps réel au CIA. Au lieu de cela, il copie le téléviseur comme un fichier ", a ajouté Hickey.Il a noté que les attaques seraient probablement limitées, en ce sens que la CIA devrait être proche pour récolter les données volées. "Effectivement, ils installent une application sur votre téléviseur via USB, ils sortent de leur activité d'espionnage et reviennent avec un point d'accès Wi-Fi plus tard. Lorsque le téléviseur voit la Wi-Fi de la CIA, il télécharge tout l'audio capturé qu'il a Enregistré des personnes autour de la télévision, même s'ils pensaient que c'était hors tension.Le logiciel malveillant supprime également le voyant d'alimentation du téléviseur pour que le téléviseur soit éteint, mais il a permis aux espions de continuer à enregistrer.

 Protection de la CIASamsung n'a pas répondu à une demande de commentaire au moment de la publication, et Forbes n'a pas été en mesure de vérifier de manière indépendante la véracité des réclamations faites sur Wikileaks, qui a publié un énorme lot de dossiers présumés de la CIA aujourd'hui sous le nom de Vault 7.
Ce hack n'a travaillé que sur certaines versions de firmware du même téléviseur, il a été testé par les agences sur les téléviseurs exécutant les versions de firmware 1111, 1112 et 1116. Ils n'ont pas trouvé un moyen de pirater la version de firmware 1118 et plus, en passant par ce qui est Mentionné dans les documents. Mais il existe une façon simple pour les utilisateurs de se protéger, selon Hickey. Il a déclaré que la mise à jour de la télévision pourrait bien tuer l'outil de la CIA, car il n'y a aucune indication que la CIA puisse utiliser le logiciel malveillant Weeping Angel sur les téléviseurs Samsung exécutant le dernier firmware au-dessus de celui spécifié, à savoir 1118. Comme indiqué dans un fichier divulgué: "Mise à jour Le firmware sur Internet peut supprimer l'implant (non testé) ou des parties de l'implant ... La version du microprogramme 1118 + a éliminé la méthode d'installation USB actuelle. "Cependant, dans ces mêmes notes d'ingénierie est une fonctionnalité pour "prévenir les mises à jour". Cela pourrait signifier que la CIA avait trouvé un moyen d'empêcher que le dispositif Samsung ne se mette à jour automatiquement, ou du tout. Lorsque les utilisateurs trouvent qu'ils ne peuvent pas mettre à jour, il existe un code de réinitialisation pratique dans le même fichier de Wikileaks, ce qui devrait permettre de réinitialiser les mises à jour.Comme le montrent les cas récents, les téléviseurs intelligents Samsung ont fait l'objet de problèmes de confidentialité et de sécurité. Le mois dernier, Forbes a révélé que le FBI avait cherché avec succès la téléviseur Samsung d'un suspect dans le cadre d'une enquête sur le matériel d'abus sexuel pour enfants. En 2015, il y avait une mini-aventure sur Samsung partageant les conversations enregistrées par la télévision avec des tiers.Le moteur de recherche Shodan pour les périphériques connectés a également pu recueillir des informations sur certains téléviseurs Samsung qui sont exposés sur le Web, ce qui peut les laisser ouverts aux pirates sur n'importe quelle planète.
Weeping Angel lui permet de pirater un téléviseur intelligent Samsung - en particulier la série F8000 .
 Il reste la possibilité que le MI5 ait la capacité de piratage de télévision avant la CIA. "Le code source est désinfecté du« Royaume-Uni »moins les communications et le chiffrement», a déclaré David Lodge, chercheur de Pen Test Partners. "Ceci est plus important pour moi - cela implique que MI5 avait déjà cette solution."Le botnet Mirai a utilisé des périphériques piratés à puce pour détruire Dyn, une société de services de domaine, en inondant ses serveurs avec un trafic artificiel. L'attaque a entraîné de nombreux sites Web populaires tels que PayPal, Twitter et Amazon en mode hors connexion pendant une partie de la journée.

http://www.zdnet.com/video/major-us-cities-are-plagued-by-millions-of-exposed-iot-devices/

Le programme classé "secret", développé lors d'un hackathon entre les espions de la CIA et le service de sécurité domestique britannique MI5 à la mi-2014, est considéré comme une application télévisée intelligente, mais il peut enregistrer de l'audio depuis ses environs, par exemple Un salon ou un bureau occupé.Selon Shodan, le moteur de recherche d'appareils connectés à Internet, il y a au moins 11 300 téléviseurs intelligents Samsung connectés à Internet.


 malware TV Weeping Angel
 - Les choses que vous pourriez faire

     Extraire les informations d'identification ou l'historique du navigateur
     Extraire les informations d'identification WPA / WiFi
     Insérez le CERT de la CA racine pour faciliter le MitM du navigateur, de l'accès à distance ou de la demande d'Adobe
     Enquêter sur la fonctionnalité Accès à distance
     Enquêter sur les ports d'écoute et leurs services respectifs
     Essayez d'annuler / etc / hosts pour bloquer les mises à jour Samsung sans requête DNS et iptables (référencé par SamyGo)
     Ajoutez les appels de mise à jour de ntpclient aux scripts de démarrage pour synchroniser l'heure système de l'implant pour des timestamps précis de collecte audio



Nota: 
 Les hacks soulignent les risques des dispositifs dits "Internet de choses" dont la grande majorité est dotée d'un accès réseau et de fonctionnalités informatiques sans être sécurisé de manière adéquate. Les téléviseurs et d'autres appareils connectés à Internet manquent presque totalement de sandboxing d'application et d'autres atténuements d'exploitation qui font partie intégrante des systèmes d'exploitation informatiques et mobiles. Pire encore, la plupart des périphériques exécutent d'anciennes versions de Linux et des navigateurs open source qui contiennent des vulnérabilités critiques. Bien que les correctifs soient généralement disponibles sur Internet pour les composants individuels, les fabricants offrent rarement aux clients un moyen de les installer sur les périphériques en temps opportun.
Tout le monde peut configurer un émetteur DVB-T personnalisé avec un équipement évalué entre 50 $ et 150 $ et commencer à diffuser un signal DVB-T.Les signaux de télévision Rogue peuvent fournir des commandes malveillantes de HbbTV.Selon Scheel, le problème est que la norme HbbTV, portée par les signaux DVB-T et prise en charge par tous les téléviseurs intelligents, permet d'envoyer des commandes qui indiquent aux téléviseurs intelligents d'accéder et de charger un site Web en arrière-plan. Les experts en médecine légale qui enquêtent sur le piratage n'auraient aucun moyen de retransmettre l'attaque à sa source sur DVB-T, à moins que l'attaquant ne recommence à diffuser.Il est presque impossible de nettoyer les téléviseurs intelligents infectés.Scheel dit qu'il a testé son attaque avec des commandes HbbTV déchaînées via les signaux DVB-T seulement, mais, en théorie, l'attaque devrait également fonctionner sur les chaînes DVB-C (Digital Video Broadcasting - Cable) et IPTV. 
Au salon Consumer Electronics , Arris a fait ses débuts sur un routeur Wi-Fi qui analyse vos appareils à puce grâce à McAfee's Global Threat Intelligence.
 Si le routeur détecte une activité suspecte sur votre lampe intelligente ou la caméra que vous avez dans la chambre de votre enfant, elle suspendra l'accès, en veillant à ce que vos périphériques ne puissent être utilisés pour rien de malicieux.




Scheel a développé un deuxième exploit, qui a exploité une vulnérabilité plus ancienne dans la fonction JavaScript Array.prototype.sort (), le support de tous les navigateurs, même par ceux livrés avec des téléviseurs intelligents.

 Heureusement, il existe des mesures préventives que les utilisateurs peuvent mettre en place pour rester au courant de leur sécurité personnelle. 
 En voici quelques uns:• Maintenez le microprogramme de votre appareil mis à jour et installez les derniers correctifs des développeurs dès que ceux-ci seront disponibles.• Toujours vérifier le manuel, les fonctionnalités et les paramètres pour toute option qui pourrait être un autre terme pour l'exploration de données.• Ne faites pas d'activités liées à la banque sur votre Smart TV. Utilisez plutôt un smartphone ou un ordinateur portable sécurisé.• Téléchargez des applications de sécurité Android sur votre téléviseur Android, car celles-ci peuvent être gérées par l'appliance intelligente.• Effectuez des analyses de logiciels malveillants régulièrement pour éviter les menaces nuisibles.• Configurez des réseaux distincts pour votre Smart TV et vos gadgets personnels pour empêcher les intrus d'accéder facilement à vos appareils.• Couvrez l'appareil lorsque vous n'êtes pas utilisé pour éviter tout visionnement indésirable de tiers.• Ne cliquez pas à la hâte sur les messages qui s'affichent à l'écran, à moins qu'ils ne proviennent d'une source fiable et fiable. Mieux encore, évitez d'accepter le tout.• Soyez aussi prudent que vous le feriez sur un ordinateur personnel lors de la visite de sites sur Smart TV.• Respectez les divertissements personnels sur la télévision tout en gardant d'autres activités, comme la navigation sur les réseaux sociaux, sur des gadgets sécurisés.• Déconnectez-vous de l'Internet lorsque le téléviseur intelligent n'est pas utilisé.





L'Agence de renseignement centrale des États-Unis et ses agences alliées peuvent contourner le cryptage d'applications telles que WhatsApp et Signal en entrant dans un périphérique Android et en diffusant des données avant même que le cryptage ne soit appliqué.



Source.:

mercredi 4 mai 2016

Il y aurait 3,600 réseaux de zombies opérationnels sur Internet actuellement

Économie des réseaux de PC zombies


Les réseaux de PC zombies ont considérablement évolué ces 10 dernières années. De quelques dizaines d’ordinateurs, gérés depuis des centres de commandes, ils sont passés à des millions de machines constituant des réseaux complexes et dotés d’une administration décentralisée. Quel est l’intérêt de créer de si grands réseaux de zombies ? Une seule réponse : l’appât du gain.
Un réseau de PC zombies, ou botnet, est un réseau d’ordinateurs infectés par un programme malveillant, qui permet à des individus mal intentionnés d’administrer ces ordinateurs à l’insu de leur propriétaire. Les réseaux de zombies représentent désormais une source de revenus stables pour un grand nombre de bandes cyber-criminelles. Le faible coût de production et la simplicité de l’administration des réseaux de PC zombies contribuent à leur popularité, et expliquent leur augmentation.
De nombreuses possibilités s’offrent aux individus qui souhaitent exploiter un réseau de zombies, du cybercriminel expérimenté au moins qualifié. Il est possible de monter de toutes pièces un réseau de zombies, les instructions nécessaires à leur création se trouvant facilement sur Internet.
Pour mettre sur pied un nouveau réseau de PC zombies, le cybercriminel peut infecter les ordinateurs des victimes à l’aide d’un programme spécial baptisé « bot ». Les bots sont des programmes malveillants qui regroupent les ordinateurs infectés au sein des réseaux de zombies.
Les moins doués pour la programmation peuvent tout simplement acquérir des réseaux de PC zombies, commercialisés sur certains forums. Les acheteurs peuvent demander l’obscurcissement et le chiffrement du code de leurs programmes, afin qu’ils ne puissent être découverts par les logiciels antivirus.
Le cybercriminel peut également choisir de détourner un réseau de PC zombies existant.
L’étape suivante pour le cybercriminel consiste à infecter les ordinateurs des victimes à l’aide de programmes malveillants. Il peut pour cela avoir recours à l’envoi de courriers non sollicités, à la diffusion de messages dans les forums ou sur les réseaux sociaux, ou encore au téléchargement à la dérobée. Le bot peut lui-même développer des fonctions de diffusion automatique, comme n’importe quel virus ou vers.
Diverses astuces d’ingénierie sociales sont exploitées lors de la diffusion de messages non sollicités ou de la publication de messages sur des forums ou des réseaux sociaux, afin de pousser la victime potentielle à installer le bot. Il peut s’agir d’une invitation à regarder une vidéo intéressante qui requiert un codec spécial. Une fois ce codec téléchargé et exécuté, l’ordinateur est infecté à l’insu de son utilisateur. Il devient un « esclave », à la merci du cybercriminel à la tête du réseau.
La deuxième technique la plus utilisée est celle du téléchargement à la dérobée, c’est à dire le téléchargement discret d’une application malveillante. Lorsque la victime accède à une page Web infectée, le programme malveillant est téléchargé sur son ordinateur via diverses vulnérabilités présentes dans les applications et les navigateurs Internet le plus souvent utilisés. Des codes d’exploitation sont utilisés pour tirer profit des vulnérabilités. Ces codes permettent non seulement de télécharger discrètement un programme malveillant, mais également de l’installer à l’insu de l’utilisateur. Si l’attaque réussit, l’utilisateur ne se doute même pas que son ordinateur est infecté. Ce mode de diffusion des applications malveillantes est le plus dangereux : si la ressource compromise est très fréquentée, ce sont des dizaines de milliers d’utilisateurs qui seront infectés !

Figure1. Piège pour l’utilisateur. (Fausse page YouTube)
Le bot peut avoir des fonctions de diffusion automatique via les réseaux informatiques. Il peut par exemple se propager en infectant tous les fichiers exécutables accessibles, ou en recherchant les ordinateurs vulnérables du réseau pour les infecter. Virus.Win32.Virut et Net-Worm.Win32.Kido en sont des exemples : le premier est un programme polymorphe qui infecte des fichiers, le second est un ver de réseau. L’efficacité de cette approche est difficile à évaluer : à l’heure actuelle, le réseau de zombies construit par le ver Kido est le plus étendu au monde.
Le créateur d’un réseau de PC zombies peut contrôler les ordinateurs infectés à l’insu des utilisateurs, grâce à un centre de commandes qui communique via un canal IRC, une connexion Internet, etc. Il suffit de réunir quelques dizaines de machines pour que ce réseau de zombies commence à engendrer un revenu pour son propriétaire. Ce revenu est directement proportionnel à la fiabilité du réseau de zombies et à son rythme de croissance.

Comment les propriétaires de réseaux de PC zombies gagnent-ils de l’argent ?

Plusieurs possibilités existent pour rendre lucratifs les ordinateurs asservis : attaques par déni de service distribué, collecte d’informations confidentielles, diffusion de courrier indésirable, hameçonnage, courrier indésirable de recherche, augmentation du nombre de clics ou téléchargement de logiciels publicitaires et d’applications malveillantes. Il faut noter que quelle que soit l’activité choisie par l’individu mal intentionné, les bénéfices seront au rendez-vous. Et d’ailleurs, pourquoi choisir ? Un réseau de zombies est parfaitement capable de réaliser toutes ces activités… simultanément !

Figure 2. Réseaux de PC zombies et affaires

Attaques par déni de service distribué

De nombreux chercheurs pensent que la fonction DDoS était déjà exploitée par les tous premiers réseaux de PC zombies. L’attaque par déni de service distribué est une attaque menée contre un système informatique dans le but de mettre celui-ci hors service, c’est-à-dire de le rendre incapable de recevoir et de traiter les requêtes d’utilisateurs légitimes. Une des méthodes les plus souvent utilisées consiste à envoyer un nombre élevé de requêtes à l’ordinateur de la victime, afin de le mettre hors service s’il ne dispose pas des ressources suffisantes pour traiter toutes les requêtes reçues. L’attaque par déni de service distribué est une arme précieuse pour les pirates, et le réseau de zombies est l’outil idéal pour exécuter ce genre d’attaque. Les attaques DDoS peuvent être employées aussi bien dans la lutte contre les concurrents que dans le cadre d’attaques de cyberterroristes.
Le propriétaire d’un réseau de zombies peut mener pour le compte de clients peu scrupuleux des attaques DDoS à l’encontre des sites de ses concurrents, qui sont ainsi rendus inopérationnels. Le cybercriminel peut alors exiger une rançon, plus ou moins importante. De la même manière, les propriétaires de réseaux de zombies peuvent utiliser à leur propre compte les attaques par déni de service distribué, afin d’extorquer de l’argent à de grandes entreprises. L’entreprise préfère souvent accéder aux demandes du cybercriminel, car la réparation des dégâts provoqués par une telle attaque coûterait encore plus cher.
En janvier 2009, une attaque menée contre l’un des plus importants hébergeurs, godaddy.com, a entrainé la mise hors ligne de plusieurs milliers de sites hébergés sur les serveurs de la société pendant près de 24 heures. Que s’était-il passé ? Une autre société d’hébergement avait-elle appliqué cette tactique illégale pour affaiblir son concurrent, ou l’hébergeur Go Daddy avait-il été la victime du chantage d’un groupe de cybercriminels ? Les deux scénarios sont possibles. Cet hébergeur avait d’ailleurs déjà été victime d’une attaque similaire en novembre 2005. A l’époque, le service avait été suspendu pendant une heure seulement. L’attaque la plus récente, bien plus terrible que la première, témoigne de la croissance incontestée des réseaux de PC zombies.
En février 2007, plusieurs attaques ont été lancées contre des serveurs DNS racines, dont dépend directement le fonctionnement normal de l’ensemble d’Internet. Il est peu probable que ces attaques visaient à détruire Internet car sans lui, les réseaux de zombies ne pourraient exister. Il s’agissait plutôt d’une démonstration de la force et des possibilités des réseaux de zombies.
Des publicités pour la réalisation d’attaques par déni de service distribué s’affichent ouvertement sur de nombreux forums consacrés au sujet. Concernant les tarifs, on observe que le prix à payer pour une attaque oscille entre 50 dollars et plusieurs milliers de dollars par journée complète d’utilisation d’un réseau de zombies. Cet écart au niveau des prix est compréhensible et justifié : l’utilisation d’un petit réseau de zombies (environ 1 000 ordinateurs) suffit pour perturber les ventes du magasin en ligne non protégé d’un concurrent pendant une journée, et cela ne coûtera pas très cher au contrevenant. La situation est toute autre si le concurrent est une grande société multinationale dont le site est protégé, ce qui impliquera l’utilisation d’un nombre bien plus élevé d’ordinateurs pour mener une attaque DDoS concluante. Le prix sera évidemment plus élévé.
Selon les données recueillies par shadowserver.org, près de 190 000 attaques par déni de service distribué ont été organisées en 2008, ce qui aurait rapporté aux cybercriminels près de 20 millions de dollars. Cette estimation ne tient pas compte des revenus du chantage, qu’il est tout simplement impossible d’évaluer.

Collecte d’informations confidentielles

Les informations confidentielles enregistrées sur le disque dur des ordinateurs intéresseront toujours les individus mal intentionnés. Les informations les plus prisées sont les numéros de cartes de crédit, les données financières et les mots de passe d’accès à divers services : courrier électronique, FTP, clients de messagerie FTP. Les programmes malveillants modernes sont capables de sélectionner les données nécessaires aux cybercriminels. Il suffit pour cela de charger le module adéquat sur l’ordinateur infecté.
Les cybercriminels peuvent soit revendre les informations volées, soit les utiliser dans leur propre intérêt. Chaque jour, des annonces pour la vente de codes d’accès à des comptes en banque sont publiées sur les forums clandestins. Le coût dépend de la quantité d’argent disponible sur le compte de l’utilisateur, et est compris entre 1 et 1 500 dollars par compte. La limite inférieure indique que la concurrence qui règne entre les différents cybercriminels du milieu pousse ces derniers à réduire les prix. Pour pouvoir gagner beaucoup d’argent, ils doivent pouvoir compter sur un flux stable de nouvelles données, ce qui implique une croissance stable des réseaux de zombies.
Les informations financières intéressent tout particulièrement les cybercriminels spécialisés dans la fabrication de fausses cartes bancaires. Pour se rendre compte de la rentabilité de ces opérations, il suffit de se souvenir de l’histoire de ce groupe de cybercriminels brésiliens arrêtés il y a deux ans. Ils avaient réussi à retirer 4,74 millions de dollars de divers comptes en banque en utilisant des données dérobées sur des ordinateurs.
Les données confidentielles qui n’ont aucun rapport direct avec l’argent des victimes intéressent les criminels qui se consacrent à la création de faux document, à l’ouverture de faux comptes en banque, à des affaires illégales, etc.
Le coût des données personnelles dérobées dépend directement du pays où vit le détenteur légitime de ces données. Par exemple, les données complètes de résidents des Etats-Unis valent entre 5 et 8 dollars. Sur le marché noir, les données d’habitants de l’Union européenne sont particulièrement recherchées : elles coûtent deux à trois fois plus cher que les données de résidents des Etats-Unis et du Canada. Ceci s’explique par le fait que les criminels peuvent utiliser ces données dans n’importe quel pays de l’Union européenne. La moyenne sur le marché mondial pour un kit complet de données relatives à un individu est de 7 dollars.
Les adresses de courrier électronique figurent parmi les données recueillies par les réseaux de zombies. A la différence des numéros de carte de crédit et des codes d’accès à des comptes bancaires, il est possible de récolter une multitude d’adresses depuis un seul ordinateur. Les adresses récoltées sont ensuite vendues, parfois « en gros », au mégaoctet. Les diffuseurs de courrier indésirable sont les principaux acheteurs. Une liste contenant un million d’adresses électroniques coûte entre 20 et 100 dollars, et la diffusion de messages aux adresses de la liste est comprise entre 150 et 200 dollars. La rentabilité est évidente.
Les criminels recherchent également les données d’accès à divers services payants et magasins en ligne. Ces données coûtent moins cher que les données d’utilisateurs, mais leur vente s’accompagne d’un risque moindre en matière de poursuites judiciaires. Ainsi, les données d’accès à un compte client sur le magasin en ligne Steam, qui propose des dizaines de jeux, sont vendues entre 7 et 15 dollars par compte.

Figure 3. Annonce sur un forum pour la vente de comptes Steam

Hameçonnage

La création de sites de hameçonnage est simple, mais il faut toutefois des moyens pour prévenir la fermeture de ces sites. C’est ici qu’interviennent les réseaux de zombies qui garantissent le fonctionnement de la technologie Fast-flux. Elle permet de modifier à intervalle de quelques minutes l’adresse IP des sites tout en conservant le nom de domaine, ce qui prolonge la durée de vie de ces réseaux et complique leur découverte et leur mise hors-service. Des ordinateurs de particuliers, intégrés à des réseaux de PC zombies, sont utilisés comme serveurs Web, avec du contenu de phishing. Fast-flux est plus efficace que les serveurs proxy pour dissimuler les faux sites Web sur Internet.
Ainsi le célèbre groupe Rock Phish, qui pratique le hameçonnage, collabore avec les opérateurs du réseau de zombies Asprox. En milieu de l’année dernière, le groupe Rock Phish, responsable de la moitié des attaques d’hameçonnage sur Internet qui ont entraîné plusieurs millions de dollars de pertes pour les utilisateurs des systèmes de transactions bancaires en ligne, a modernisé son infrastructure en utilisant la technologie Fast-flux. 5 mois ont été nécessaires, et le tout a été réalisé de manière professionnelle. Mais ils n’ont toutefois pas créé leur propre réseau Fast-flux : ils ont acheté une solution « clé en main » auprès des propriétaires d’Asprox.
Pour un hébergement Fast-flux, les cybercriminels, le plus souvent des phishers, paient mensuellement les propriétaires de botnets entre 1000 et 2000 dollars.
Le revenu moyen d’une attaque de hameçonnage est comparable au revenu rapporté par le vol de données confidentielles à l’aide de programmes malveillants, et peut atteindre des millions de dollars par an.

Courrier indésirable

Des millions de messages non sollicités sont envoyés chaque jour dans le monde. La diffusion de ce courrier indésirable est une des fonctions principales des réseaux de zombies modernes. Selon les données de Kaspersky Lab, près de 80 % de l’ensemble des messages non sollicités sont envoyés via les réseaux de zombies.
Les ordinateurs des utilisateurs sont utilisés pour envoyer des milliards de messages faisant la publicité du viagra, de fausses montres, de casinos en ligne, etc. Ces messages surchargent les canaux de diffusion et encombrent les boîtes aux lettres. Les adresses à l’origine de la diffusion sont ajoutées aux listes noires des éditeurs de logiciels antivirus.
On a observé ces dernières années un élargissement de la gamme de services offerts par le spam : il existe désormais les messages non sollicités sur ICQ, les messages non sollicités sur les réseaux sociaux, les forums ou les blogs. Il s’agit d’une vraie « prouesse » des propriétaires de botnets : il est très facile de programmer un module complémentaire pour le client « bot », générant de nouvelles opportunités avec des messages tels que : « Courrier indésirable sur Facebook. C’est pas cher ».
Les tarifs du courrier indésirable varient en fonction du public visé et du nombre d’adresses qui reçoivent les messages. Les prix pour une diffusion ciblée sont compris entre 70 dollars pour des centaines de milliers d’adresses et 1 000 dollars pour quelques dizaines de millions d’adresses.
L’an passé, les diffusions de spams ont rapporté aux spammeurs la somme astronomique de 780 000 000 dollars.

Courrier indésirable de recherche

Il existe une autre application des réseaux de zombies, à savoir l’optimisation des recherches. Avec ce procédé, les responsables de sites tentent d’améliorer leur position dans les résultats de recherches. Plus un site se positionne en haut du classement, plus il recevra de visiteurs via les moteurs de recherche.
Les robots de recherche tiennent compte de plusieurs facteurs pour évaluer la pertinence d’un site. Un des principaux paramètres est le nombre de liens vers d’autres pages ou domaines. Plus le nombre de ces liens est élevé, plus le classement du site du point de vue du robot sera élevé. Le classement est également influencé par les mots qui composent les liens. Par exemple le lien « achetez nos ordinateurs » sera très pertinent pour la recherche « achat ordinateur »
L’optimisation pour les moteurs de recherche (Search Engine Optimization) est économiquement rentable. De nombreuses sociétés paient des sommes astronomiques à des webmasters afin qu’ils placent leur site en première position dans les résultats de recherche. Les propriétaires de réseaux de zombies ont étudié quelques astuces et ont automatisé le processus d’optimisation de la recherche.
Une multitude de liens, créés par un inconnu ou un ami, peuvent apparaitre dans les commentaires d’une entrée sur un blog, ou d’une photo en ligne. C’est la technique utilisée pour promouvoir son site via un réseau de zombies. Le programme spécialement développé à cet effet est installé sur l’ordinateur zombie, et il laisse au nom du propriétaire de l’ordinateur asservi des commentaires sur des sites fréquentés, comportant des liens vers le site promu.
Le prix moyen pour ces services illégaux de courrier indésirable de recherche est d’environ 300 dollars par mois.

Installation de logiciels publicitaires et de programmes malveillants

Imaginez-vous un instant en train de lire votre magazine en ligne favori sur l’automobile, quand soudain une fenêtre s’ouvre et vous invite à acheter des accessoires d’origine pour votre véhicule. A priori, il n’y a rien de mal à cela et vous seriez même disposé à réaliser cet achat. Par contre, vous savez pertinemment bien que vous n’avez installé aucune application pour la recherche d’objets dont vous avez besoin (ou pas). L’explication est simple : les propriétaires d’un réseau de zombies ont « pensé à vous ».
Les nombreux éditeurs qui proposent des services de publicité en ligne sont payés pour chaque installation de leur application. Il s’agit en général d’une somme modeste, de 30 cents à 1,5 dollars pour une installation. Toutefois, si l’individu mal intentionné dispose d’un réseau de zombies, il peut installer en quelques clics n’importe quelle application sur des milliers d’ordinateurs et gagner ainsi une somme importante.
Le célèbre cybercriminel D. K. Schifer, jugé en 2007, a gagné en un mois plus de 14 000 dollars en installant un logiciel publicitaire sur 10 000 ordinateurs à l’aide d’un réseau de PC zombies de plus de 250 000 machines.
Les représentants d’activités cybercriminelles qui diffusent des applications malveillantes suivent souvent le même modèle en se faisant payer pour chaque installation de leur logiciel. De plus, l’installation d’applications sur des ordinateurs dans différents pays n’a pas le même coût. Ainsi, l’installation d’un programme malveillant sur mille ordinateurs en Chine coûtera en moyenne 3 dollars alors qu’il faudra compter 120 dollars aux Etats-Unis. Ceci est tout à fait compréhensible dans la mesure où les utilisateurs des pays développés ont des données qui valent beaucoup plus d’argent.

Augmentation du nombre de clics

Les agences de publicité qui travaillent en ligne selon le modèle PPC (Pay-per-Click) versent de l’argent pour chaque clic unique sur les annonces. Pour les propriétaires de réseaux de zombies, tromper ces compagnies peut rapporter gros.
Prenons par exemple le célèbre réseau Google AdSense. Les annonceurs paient Google pour les clics sur les annonces, en espérant que le visiteur achètera quelque chose chez eux.
Google de son côté place des publicités contextuelles sur divers sites participant au programme AdSense et paie un pourcentage pour chaque clic au propriétaire du site. Malheureusement, tous les propriétaires de sites ne sont pas honnêtes. Ainsi, le pirate ayant accès à un réseau de zombies peut générer des milliers de clics uniques par jour, un par machine afin de ne pas éveiller les soupçons de Google. L’argent dépensé en publicité par la société arrive dans les poches du pirate. Malheureusement, il n’existe à ce jour aucun cas où les auteurs ont dû répondre de leurs actes.
Selon les données de Click forensics en 2008, 16 à 17% des clics sur les liens publicitaires étaient contrefaits, dont un tiers était généré par les botnets. Un calcul rapide nous montre que sur un an les propriétaires des botnets ont récolté grâce aux liens commerciaux 33 000 000 de dollars.

Location et vente de réseaux zombies

La célèbre formule « marchandise-argent-marchandise » énoncée par Marx devient, pour les propriétaires de réseaux de zombie importants, « réseau de zombies-argent-réseau de zombies ». Il est vrai que le maintien du réseau de zombies, la recherche de nouveaux zombies, la protection contre la détection des bots par les logiciels antivirus et la mise en place de centres de contrôle et de commande nécessitent des investissements aussi bien en temps qu’en argent de la part des pirates. Ils n’ont ainsi tout simplement pas le temps de diffuser eux-mêmes les messages, d’installer une application quelconque ou de voler des données et de les revendre. Il est plus simple de louer le réseau de zombies ou de le vendre à toute personne intéressée.
La location d’un réseau de zombies de messagerie dont la vitesse de diffusion est de 1 000 messages par minute (lorsque 100 zombies sont en ligne) revient à environ 2 000 dollars par mois. Le coût de la location d’un réseau de zombies « clé en main » dépend du nombre d’ordinateurs infectés. Les petits réseaux comptant quelques centaines de bots sont compris entre 200 et 700 dollars, un bot revenant en moyenne à 0,5 dollar. Les réseaux plus développés coûtent bien plus cher. Ainsi, le réseau Shadow, créé par un jeune pirate hollandais de 19 ans, comptant plus de 100 000 ordinateurs à travers le monde, a été vendu 36 000 dollars. C’est le prix d’une petite maison en Espagne, mais un criminel brésilien a préféré s’acheter un réseau de PC zombies.

Conclusion

Chaque jour, les personnes à la tête de réseaux de zombies empochent des sommes astronomiques. La lutte contre cette activité exploite tous les moyens possibles, mais est loin d’être efficace devant la loi. L’application de législations contre le courrier indésirable, contre la création et la diffusion de programmes malveillants, ou contre la violation de l’intégrité de réseaux informatiques, n’est pas une pratique adoptée dans tous les pays, et tous les pays ne possèdent d’ailleurs pas nécessairement une législation en la matière. Les propriétaires ou les créateurs de réseaux de zombies qui ont été traduits en justice se comptent sur les doigts de la main. Paradoxalement, le nombre de réseaux de zombies opérationnels sur Internet est élevé : on en recensait récemment 3 600. En réalité, le décompte du nombre de réseaux opérationnels n’est pas une mince affaire car il existe quelques dizaines de réseaux de zombies importants dont il est impossible de remarquer l’activité et une multitude de réseaux plus petits particulièrement difficiles à découvrir et à scinder.
A l’heure actuelle, la méthode la plus efficace pour lutter contre les réseaux de PC zombies consiste à jouer sur une collaboration étroite entre les spécialistes de la lutte contre les virus, les fournisseurs d’accès Internet et les autorités judiciaires. C’est peut-être cette coopération qui a entraîné la fermeture de trois sociétés : EstDomains, Atrivo et McColo. Il faut noter que la fermeture de la société McColo, dont les serveurs hébergeaient les centres de commande de plusieurs réseaux de zombies importants, spécialisés dans la diffusion de courrier indésirable, a entraîné une réduction de 50 % du nombre de messages non sollicités en circulation.
Les spécialistes étudient des milliers de réseaux de zombies, les logiciels antivirus détectent et neutralisent les bots dans le monde entier mais seules les autorités judiciaires peuvent interrompre l’activité des centres de commandes et capturer les criminels, ce qui « désactiverait » les réseaux de zombies à long terme. Les effets de la fermeture de McColo ont été de courte durée : quelques semaines plus tard, le volume de courrier indésirable avait à nouveau atteint son niveau habituel. Les propriétaires de réseaux de zombies ont déplacé leurs centres de commande chez d’autres hébergeurs, et ils ont poursuivi leur activité comme auparavant. Aussi, il est primordial de mener une lutte de tous les instants, et non pas seulement des vérifications ponctuelles. Malheureusement, les réseaux de zombies s’apparentent bien souvent à une hydre des temps modernes !
La lutte ne peut être efficace si elle ne compte pas l’appui des utilisateurs. Ce sont en effet les ordinateurs des particuliers que l’on retrouve majoritairement dans les réseaux de zombies. Le non-respect de règles de sécurité élémentaires, telles que l’utilisation d’un logiciel antivirus, l’utilisation de mots de passe robustes, ou la désactivation du lancement automatique des fichiers depuis les supports amovibles, peut transformer votre ordinateur en nouveau membre d’un réseau de zombies, ce qui mettrait vos données et vos ressources à disposition d’individus mal intentionnés. Pourquoi faciliter la tâche des cybercriminels ?

Source.: