Action concertée du FBI et d’Europol contre Gameover

Les autorités judiciaires et policières d’Europe et des Etats-Unis, dont Europol et le FBI, on mené une opération concertée contre Gameover qui a débouché sur la saisie de serveurs et la perturbation du fonctionnement du réseau de zombies. D’après les données obtenues, ce réseau de zombies intervenait également dans la diffusion du programme de chiffrement et de blocage CryptoLocker. Deux Etats ont entamé des procédures contre un citoyen russe de 30 ans qui serait l’exploitant du réseau de zombies et l’auteur de Gameover/ZeuS.

Comme on le sait, Gameover est une version 2p2 du célèbre cheval de Troie bancaire ZeuS. Le réseau de zombies mis sur pied à l’aide de ce programme était devenu un véritable casse-tête pour les chercheurs et les autorités judiciaires. Les réseaux de zombies qui adoptent une infrastructure p2p sont très résistants aux tentatives d’élimination en raison de l’absence de centres de commande dédiés. Ces dernières années, ce mode d’organisation a été adopté par de nombreux opérateurs de programmes malveillants et de bots.

La principale fonction de Gameover, à l’instar de celle de ZeuS, est le vol d’informations financières et le nettoyage de comptes en banque. Ce programme malveillant bancaire est souvent propagé par courrier indésirable via un réseau de zombies de partenariat, en général avec Pushdo/Cutwail. D’après les estimations des chercheurs, le réseau de zombies construit avec Gamevoer compterait entre 500 000 et 1 million d’ordinateurs infectés, dont 25 % sur le territoire des Etats-Unis. Le FBI quant à lui estime que les dommages infligés par Gameover s’élèvent à 100 millions de dollars.

CryptoLocker, d’après les informations publiées par le ministère de la Justice des Etats-Unis, a infecté à l’heure actuelle plus de 234 000 ordinateurs, dont la moitié aux Etats-Unis. Le dossier signale également qu’au cours de ses deux premiers mois d’activité, ce programme de blocage a amené les victimes à envoyer plus de 27 millions de dollars américains aux escrocs.

L’opération conjointe contre CryptoLocker et Gameover a impliqué non seulement le FBI, Europol et l’EC3 (Centre européen de lutte contre la cybercriminalité), mais également les autorités judiciaires et policières de plus de 10 pays dont le Canada, l’Australie, la Nouvelle-Zélande, le Japon et l’Ukraine. L’enquête a bénéficié de l’appui technique de Shadowserver, Abuse.ch, CrowdStrike, Microsoft, F-Secure, Level 3 Communications, McAfee, Neustar, Symantec ainsi que d’autres organisations et chercheurs universitaires. Le tribunal avait autorisé la saisie de plusieurs serveurs associés à Gameover et Cryptolocker et ceux-ci furent substitués (sinkholing) afin d’identifier les noeuds infectés. Ces informations sont envoyées au Groupe américain d’intervention rapide face aux incidents informatiques (US-CERT) qui les transmet à son tour aux CERT des pays concernés afin de prévenir les victimes via les FAI et d’aider celles-ci se débarrasser de l’infection.

« Cette opération de grande envergure réussie a démontré que les pays de l’Union européenne étaient prêts à agir de manière efficace, décisive et coordonnée contre les groupes criminels qui volent des informations et de l’argent sur le territoire de l’Union européenne et partout dans le monde » a déclaré Troels Oerting, directeur de l’EC3.

L’US-CERT et l’agence britannique pour la lutte contre la criminalité (NCA) ont également publié des avertissements relatifs à Gameover qui reprennent notamment une brève description des caractéristiques de la menace et des consignes pour la protection.

Le FBI a lancé un avis de recherche contre un habitant d’Anapa appelé Evgeny Bogatchev qui serait le responsable du bot et l’auteur de ZeuS, ainsi que de Jabber et des versions p2p de ce programme malveillant. D’après le FBI, Evgeny Bogatchev utilise les pseudonymes Slavik, Pollingsoon et Lucky1234. Il est accusé par les autorités américaines de complot criminel, d’escroquerie avec utilisation frauduleuse du réseau de télécommunication, de piratage informatique, de fraude bancaire et de blanchiment d’argent. Il serait également le responsable de l’assistance technique offerte dans le cadre des escroqueries organisées à l’aide de CryptoLocker.

Malheureusement, la méthode du sinkholing n’est pas très efficace pour démanteler un réseau de zombies, encore moins quand il s’agit d’un réseau de type p2p. La pratique démontre que les responsables de ces réseaux trouvent assez vite des remplacements pour les serveurs perdus et réalisent une mise à jour. De son côté, la NCA au Royaume-Unique invitait les utilisateurs à se débarrasser de Gameover dans un délai de deux semaines. Rik Ferguson, vice-président chargé des études en sécurité informatique chez Trend Micro, estime que les Britanniques n’auront pas le temps de profiter de cette chance : les responsables des bots vont réagir beaucoup plus vite. D’après les explications de l’expert, « Le but final des autorités judiciaires et policière est d’interrompre les échanges entre les ordinateurs infectés, ce qui doit affaiblir considérablement l’infrastructure criminelle. Bien que l’efficacité d’un tel coup ne fasse aucun doute, son effet n’est que de courte durée. Notre expérience nous montre que les réseaux malveillants sont capables de se rétablir complètement en l’espace de quelques semaines, voire de quelques jours ».

Il faut rappeler également qu’il ne s’agit pas de la première opération conjointe des chercheurs et des autorités judiciaires et policières contre ZeuS. Il y a deux ans, Microsoft avait bloqué quelques serveurs de commande de ZeuS, mais l’effet déstabilisant pour le réseau n’avait pas duré longtemps. Les enquêteurs ne se sont pas non plus fixé comme objectif la mise hors service d’au moins une partie de l’empire de ZeuS car il est bien trop grand et les pistes sont très diverses.

Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *