Carberp fait son coming out

Le code source du cheval de Troie Carberp, dont le coût sur le marché noir est estimé à 40 000 dollars, a été divulgué sur Internet et il est désormais accessible à tout un chacun. Un cas identique s’était produit il y deux ans avec le toolkit de ZeuS et les experts en sécurité informatique craignent que cette nouvelle fuite, à l’instar de la précédente, engendre toute une série de nouveaux chevaux de Troie et de programmes "clés sur porte" pour réaliser des cyberattaques.

Le code source de Carberp est apparu en ligne au milieu du mois de juin et les experts avaient alors remarqué que l’archive zip contenant le fichier binaire était protégée par un mot de passe. Quelques jours plus tard, ce mot de passe était à son tour publié sur Internet et le code source se trouvait ainsi à la portée non seulement des experts, mais de toute personne qui se donnait la peine de le chercher. Presque tout au long de son histoire, Carberp a été l’outil privé d’une organisation criminelle russe. En 2012, quelques membres supposés de ce groupe ont été arrêtés et quelques mois plus tard, une version commerciale du cheval de Troie faisait son apparition sur le marché noir. Elle était vendue pour la coquette somme de 40 000 dollars.   

Ce nouveau toolkit commercial n’était pas à la portée de toutes les bourses et seule la crème de la crème de la cybercriminalité pouvait en profiter. Mais depuis que le code source de Carberp a été rendu public, cette situation pourrait très vite changer. Ce programme malveillant permet de voler un volume impressionnant de données personnelles sur les ordinateurs infectés. Carberp possède un large éventail de plug-in, il est en mesure de bloquer les systèmes de protection ainsi que d’identifier et de détruire les programmes malveillants concurrents sur l’ordinateur de la victime. De plus, les versions les plus récentes du cheval de Troie intègrent la technologie de bootkit (rootkit du MBR), ce qui permet d’infecter un ordinateur avec un niveau d’autorisations minimum et de dissimuler sa présence dans le système.

Les experts de la société danoises CSIS Security Group vont analyser le code source publié de Carberp. D’après Peter Kruse, directeur du service d’enquête sur la criminalité de haute technologie chez CSIS : "L’exemplaire en notre possession est doté du bootkit Caberp et d’autres codes sources associés à Stone bootkit, Citadel, Ursnif, etc. Cet exemplaire est actuellement soumis à une analyse minutieuse. Nous avons trouvé également quelques fichiers texte contenant, selon toute vraisemblance, des enregistrements de chats privés et une série de noms d’utilisateur et de mot de passe d’accès à plusieurs serveurs FTP. Il faut également analyser ces données comme il se doit."   

Peter Kruse poursuit : "A l’instar de ce qui s’était produit avec la fuite du code source de ZeuS en mai 2011, les individus malintentionnés ont eu toutes les possibilités pour modifier et enrichir les fonctions du toolkit. Nous avions prédit cette situation en 2011 et elle avait engendré une série de nouveaux toolkits commerciaux comme IceIX et Citadel qui, à ce jour, interviennent toujours dans des cyberattaques."   

Seul l’avenir nous dira si cette divulgation va avoir les mêmes conséquences. Il n’en reste pas mois que cette fuite est une mauvaise nouvelle pour l’ensemble de la communauté Internet. Cet événement est en mesure d’augmenter le nombre d’utilisateurs de ce cheval de Troie et d’élargir la plage des cibles potentielles. Ceci étant, cette situation n’a pas que des côtés négatifs : les experts de la lutte contre les virus ont obtenu ainsi une possibilité supplémentaire d’étudier Carberp et son architecture plus en détails, ce qui permettra de mettre en place des protections plus efficaces contre ce programme malveillant.

Dans son message envoyé à Threatpost, Peter Kruse indiquait que d’après les données dont il disposait, le code source de Carberp publié était original. "Il semblerait qu’il s’agit du code source intégral, mais il est difficile d’identifier à première vue d’éventuelles nouveautés ou portes dérobées. L’analyse complète du code est un processus qui demande du temps. Ceci étant dit, le code que nous avons testé se compile et fonctionne parfaitement, mais vu l’ampleur et la complexité du projet, l’analyse complète du code source va prendre un certain temps, même si nous avons confié la tâches à des analystes chevronnés" écrit Peter Kruse.

Sources : http://www.trusteer.com/blog/carberp-source-code-for-sale-free-bootkit-included
  https://www.csis.dk/en/csis/news/3961/

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *