Assaut en règle contre Citadel

Microsoft et le FBI ont tenté de mettre hors service des centaines de réseaux de zombies créés à l’aide de la version SaaS de ZeuS connue sous le nom de Citadel. D’après les experts, il s’agit de la plus agressives des opérations parmi les sept menées contre les réseaux de zombies dans le cadre du projet complexe MARS (Microsoft Active Response for Security).

Citadel est né il y a près d’un an et demi en tant que projet open source clandestin et entretemps, ce sont plus de 5 millions d’ordinateurs répartis entre 90 pays qui ont été infectés. Les dommages financiers causés par ce programme malveillant de type banker se chiffrent à 500 millions de dollars. L’année dernière, les auteurs du projet ont retiré Citadel de la vente libre sur le marché noir, pensant ainsi pouvoir protéger leur création de l’intérêt accru des autorités judiciaires et policières et réduire les frais d’assistance technique.

Microsoft s’en est pris à plus de 1 460 réseaux de zombies associés à l’activité de Citadel. L’enquête, portant le nom de code « opération b54 » chez Microsoft, a duré près d’un an. Le tribunal de district de Caroline du Nord a accédé à la demande de Microsoft et a autorisé l’interception et le remplacement des serveurs de commande (sinkholing) qui se trouvaient dans deux centres de données aux Etats-Unis. En plus de Microsoft, la préparation du dossier pour les poursuites au civil a impliqué Agari (spécialiste de la protection contre le phishing), A10 Networks (fabricant de contrôleurs de livraison d’applications), Nominum (fournisseurs de produits DNS et DHCP) ainsi que, pour la première fois, des représentants du secteur financier : le centre d’informations FS-ISAC, l’association des paiements électroniques NACHA et l’association américaine des banques (ABA).

Le dénouement de l' »opération b54″ s’est produit en mai. Richard Boscovich, assistant du conseiller juridique principal du département de Microsoft de lutte contre la cybercriminalité (DCU) indiquait dans son blog : « Vu l’ampleur et la complexité de Citadel, il ne faut pas s’attendre à ce que cette action supprime complètement tous les réseaux de zombies développés sur la base de Citadel. Toutefois, nous espérons qu’elle permettra de réduire sensiblement les forces de Citadel et d’augmenter le risque et les dépenses pour les cybercriminels qui souhaitent utiliser ce cheval de Troie. »

C’est la société californienne Agari qui a fourni la plus grande aide dans la collecte de preuves contre les administrateurs de Citadel. Pendant 6 mois, les enquêteurs ont analysé les faux messages écrits au nom de banques connues dans le but de propager l’infection. Patrick Peterson, Directeur exécutif d’Agari, explique : « Notre système permet d’isoler les messages malveillants et d’envoyer les rapports correspondants aux autorités judiciaires et policières, à nos clients et à nos collègues pour qu’ils puissent chercher les méchants. Dans ce cas-ci, en coopération avec nos partenaires du FBI, de Microsoft et de FS-ISAC, nous avons pu isoler les messages liés directement à l’activité de Citadel. »

Cela fait quelques années déjà que Microsoft lutte avec détermination contre la cybercriminalité et un des principaux acteurs de cette mission est le DCU. Ce service spécial, composé d’ingénieurs et de techniciens, de spécialistes en sécurité et de juristes, a remporté plusieurs victoires sur les réseaux de zombies dont Kelihos, ZeuS, Waledac et Rustock. Dans le cadre d’un entretien avec Denis Fisher, journaliste du Threatpost, le directeur du service sécurité du DCU, T. J. Campana, a souligné que l’objectif de son groupe était de mener des opérations contre les réseaux de zombies avec la plus grande transparence possible. « Nous ne sommes pas des bandits de grands chemins. Nous préparons des dossiers de documents juridiques. Nous cherchons un juge qui confirme le bien-fondé de nos actions », c’est ainsi que Campana explique l’activité du DCU.   

Pour accélérer le nettoyage des ordinateurs infectés, les données saisies sur les serveurs seront transmises aux FAI intéressés et au CERT. Microsoft proposera également ces informations dans le nouveau service dans le nuage lancé récemment dans le cadre du programme C-TIP (Cyber Threat Intelligence Program) qui vise à divulger rapidement les nouvelles menaces présentes sur Internet. Le FBI participe également au processus en partageant les nouvelles informations avec ses homologues étrangers.

Les seuls mécontents sont les experts en sécurité : Microsoft ne les avait pas prévenu des actions qui se préparait et avait désactiver leurs pièges. Ainsi, le projet suisse Abuse.ch a perdu plus de 300 domaines de sinkhole. D’après les estimations des activistes, près d’un quart des 4 000 domaines actuellement liés à un serveur de MS, avait été mis en place à l’origine à des fins de recherche.

Source : http://www.microsoft.com/en-us/news/Press/2013/Jun13/06-05DCUPR.aspx

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *