La cybercriminalité financière russophone : fonctionnement

Contenu

Introduction

Le marché de la cybercriminalité russophone est connu à travers le monde. (l’expression « cybercriminalité russophone » désigne non seulement les cybercriminels, citoyens de la Fédération de Russie, mais également, les ressortissants de quelques ex-Républiques soviétiques. Il s’agit dans la majorité des cas de ressortissants d’Ukraine et des pays baltes.) Deux facteurs principaux expliquent cette notoriété : tout d’abord, l’activité des cybercriminels russophones dont les faits sont souvent évoqués par la presse internationale et l’accessibilité d’un grand nombre de ressources en ligne qui ont servi ou servent encore de plate-forme d’échange pour les représentants des milieux cybercriminels, non pas nécessairement pour réaliser des affaires, mais au moins pour vanter divers « services » et « produits » et débattre de leur qualité et des modes d’application.

La sélection de « produits » et de « services » proposés a évolué au fil des années et elle s’est de plus en plus concentrée sur les attaques financières dont la complexité n’a d’ailleurs jamais cessé d’augmenter. Un des crimes les plus répandus (y compris à l’heure actuelle) était la commercialisation de données volées relatives à des cartes de paiement. L’émergence des magasins en ligne et autres services qui intègrent les paiements électroniques a provoqué une explosion du nombre d’attaques DDoS et de cyberdélits financiers dont l’objectif était soit le vol des données de paiement des utilisateurs, soit le vol direct de l’argent depuis les comptes d’utilisateurs et d’entreprises.

Les premières attaques contre les porte-monnaie électroniques de particuliers et d’entreprises furent l’œuvre du Trojan ibank (2006). Il y eu ensuite ZeuS (2007) et SpyEye (2009), suivis par Carberp (2010) et Carbanak (2013). La liste des trojans utilisés par les individus malintentionnés pour voler l’argent et les données des utilisateurs est bien plus longue.

Plus les opérations financières en ligne se répandent, plus l’intérêt des cybercriminels pour les organisations qui utilisent de telles transactions augmente. Ces dernières années, les cybercriminels attaquent de plus en plus souvent non seulement les clients des banques et des magasins en ligne, mais ils s’en prennent également directement aux organisations financières telles que les banques et les systèmes de paiement. L’histoire du groupe Carbanak, spécialisé dans les attaques contre les banques et détecté par Kaspersky Lab, confirme clairement cette tendance.

Les experts de Kaspersky Lab ont analysé le milieu clandestin des pirates russes depuis ses débuts. Kaspersky Lab publie régulièrement des rapports sur l’état des cybermenaces à caractère financier. Ces rapports évoquent le nombre d’attaques organisées à l’aide de malwares financiers au cours d’une période définie.

Les renseignements relatifs au nombre d’attaques peuvent donner une idée de l’ampleur du problème, mais ils ne nous apprennent rien sur les auteurs et les méthodes d’exécution. Nous espérons que le présent document contribuera à une meilleure compréhension de cet aspect de la cybercriminalité financière.

Les données présentées ici ont été récoltées au fil de dizaines d’enquêtes auxquelles les experts de Kaspersky Lab ont participé ces dernières années. Elles sont également le fruit d’une observation sur plusieurs années du marché de la cybercriminalité russe réalisée par les experts de la société.

Survol de la situation

D’après les estimations de Kaspersky Lab, entre 2012 et 2015, les autorités policières et judiciaires de plusieurs pays dont les Etats-Unis, la Russie, la Biélorussie, l’Ukraine et des pays de l’Union européenne, ont procédé à l’arrestation de 160 cybercriminels russophones appartenant à des structures criminelles de toute taille et dont l’activité principale était le vol d’argent à l’aide de malwares à travers le monde entier. Le total des pertes liées à ces activités dépasse 790 millions de dollars. (Cette estimation repose sur l’analyse d’une part des informations publiées lors de l’arrestation des individus soupçonnés d’avoir commis des cybercrimes financiers entre 2012 et 2015 et d’autre part, des données de Kaspersky Lab). Près de 509 millions de dollars ont été volé en dehors des frontières de pays de l’ex-URSS. Il va sans dire que ce chiffre ne tient compte que des pertes que les autorités judiciaires et policières ont confirmées lors des enquêtes. Dans la réalité, il est possible que les cybercriminels ont volé des sommes bien plus élevées.

La cybercriminalité financière russophone : fonctionnement

Evolution du nombre d’arrestations de cybercriminels russophones annoncées publiquement de 2012 à 2015

L’autre donnée qui permet de juger de l’ampleur du problème lié à la cybercriminalité russophone est le nombre de personnes jugées ces dernières années selon les articles du code de justice pénale en rapport avec la cybercriminalité. Ainsi, rien qu’en Russie, 459 individus ont été jugés entre 2013 et le premier semestre 2015 pour violation des articles 272 (accès non autorisé à des informations informatiques) et 273 (création et diffusion de malware) du code pénal de la Fédération de Russie. Et seuls 21 criminels ont été condamnés à des peines de prison. La différence entre la quantité de personnes interpellées et le nombre de personnes jugées peut s’expliquer par le fait que les médias n’annoncent pas toujours les arrestations de cybercriminels. De plus, il arrive bien souvent que l’arrestation d’un leader d’une organisation criminelle soit suivie de l’arrestation d’autres membres du groupe et le nombre final de prévenus est de loin supérieur au nombre de suspects avancé dans la presse après la première arrestation.

Depuis 2013, les membres du Service d’enquête de Kaspersky Lab sur les incidents informatiques ont participé à plus de 330 enquêtes sur des incidents liés à la cybersécurité. Plus de 95 % de ces incidents sont liés au vol d’argent ou d’informations financières.

Bien que le nombre de criminels russophones arrêtés pour avoir participé à des cybercrimes financiers a fortement augmenté en 2015 par rapport à l’année antérieure, le marché de la cybercriminalité est toujours « peuplé ». D’après les experts de Kaspersky Lab, au cours des trois dernières années, près de 1 000 individus se seraient intégrés à la communauté cybercriminelle russophone. Ce chiffre inclut toutes les personnes impliquées dans la mise en place de l’infrastructure, dans le développement et la propagation du malware qui vole l’argent ou dans le vol direct de l’argent ou la récupération de l’argent volé. La majorité de ces criminels court toujours.

Le nombre d’individus qui appartiennent au noyau des groupes criminels actifs (organisateurs, spécialistes du retrait de l’argent depuis les comptes compromis et les pirates professionnels) peut être estimé avec plus de précision : il ne dépasse pas la vingtaine. Il s’agit de personnes qui vivent dans les forums clandestins et au sujet desquels les experts de Kaspersky Lab ont récolté depuis trois ans un volume d’informations important. Ces informations indiquent le rôle clé potentiel de ces individus dans des activités criminelles liées au vol d’argent

Il est difficile de définir la quantité de groupes qui agissent depuis la Russie et les pays limitrophes : en effet, nombreux sont les groupes qui participent à quelques opérations criminelles puis qui disparaissent pour différentes raisons. Certains membres sont identifiés, mais le reste du groupe dissout poursuit son activité criminelle au sein de nouveaux groupes.

A l’heure actuelle, le Service d’enquête de Kaspersky Lab sur les incidents informatiques peut fournir des informations vérifiées sur au moins cinq organisations cybercriminelles spécialisées dans la criminalité financière. Les experts de la société surveillent en continu l’activité de ces groupes depuis plusieurs années.

Les cinq groupes en question sont apparus sur le radar des experts de la société en 2012-2013 et ils sont toujours actifs à ce jour. Ils comptent entre 10 et 40 membres. Au moins deux d’entre eux attaquent également des cibles au-delà des frontières russes, notamment aux Etats-Unis, en Grande-Bretagne, en Australie, en France, en Italie et en Allemagne.

Etant donné que les enquêtes sont toujours en cours, il n’est pas possible de publier pour l’instant des détails sur l’activité de ces groupes. Kaspersky Lab continue d’enquêter sur l’activité de ces groupes et mène une coopération active avec les autorités policières et judiciaires de Russie et d’autres pays en vue de démanteler ces organisations cybercriminelles.

L’enquête sur l’activité de ces groupes a permis aux experts de Kaspersky Lab de mieux comprendre leur mode de fonctionnement et la structure du marché de la cybercriminalité.

Structure du marché cybercriminel russophone

« Diversité »

Le marché cybercriminel désigne généralement un ensemble de « produits » et de « services » utilisés pour réaliser diverses actions illégales dans le cyberespace. Ces « produits » et « services » sont proposés aux utilisateurs ou groupes d’utilisateurs de communautés spécialisées et majoritairement fermées au public.

Les « produits » désignent généralement :

  • des programmes qui permettent d’obtenir un accès non autorisé à des ordinateurs ou des périphériques mobiles, de voler des données depuis un périphérique infecté et/ou de l’argent depuis les comptes des victimes (trojans) ;
  • des programmes capables d’exploiter des vulnérabilités dans une application installée sur l’ordinateur de la victime (codes d’exploitation) ;
  • des bases de données contenant les renseignements de cartes de crédit ou d’autres informations de valeur ;
  • du trafic Internet (nombre défini de visites d’un site, choisi par le commanditaire, par des utilisateurs qui correspondent à un profil déterminé).

Les « services » désignent généralement :

  • la diffusion de spam ;
  • l’organisation d’attaques DDoS (avalanche de requêtes sur un site en vue de le rendre inaccessible aux utilisateurs légitimes) ;
  • test de détection d’un malware par des logiciels antivirus ;
  • chiffrement d’un malware (modification d’un malware dans le but de le rendre invisible aux logiciels antivirus) ;
  • location de kits d’exploitation ;
  • location de serveurs dédiés ;
  • VPN (octroi d’un accès anonyme à des ressources Internet, protection de l’échange de données) ;
  • location d’hébergements de type « bullet-proof » (hébergeur qui ne réagit pas aux réclamations portant sur du contenu malveillant et qui ne met pas les serveurs concernés hors ligne) ;
  • location de réseaux de zombies ;
  • vérification de la valeur des données de carte de crédit volées ;
  • services de confirmation de données (faux appels, faux scans de documents) ;
  • mise en avant de sites malveillants ou de publicités dans les résultats de recherche ;
  • négociations pour l’achat de « produits » et « services » ;
  • retrait de l’argent et encaissement.

En règle générale, le paiement des « produits » et « services » proposés sur le marché cybercriminel s’opère via un système de paiement électronique comme WebMoney, Perfect Money, Bitcoin, etc.

Ces « produits » et « services » sont vendus et achetés selon différentes combinaisons pour organiser les quatre types principaux de délits qui peuvent également être combinés de différentes manières en fonction du groupe en question :

  • attaques DDoS (commanditées ou à des fins de chantage) ;
  • vol de données personnelles et de données d’accès aux porte-monnaie en ligne (en vue de les revendre ou de voler l’argent) ;
  • vol d’argent sur des comptes de banques ou d’autres organisations ;
  • espionnage privé ou industriel ;
  • chantage par blocage de l’accès aux données de l’ordinateur infecté.

D’après les observations des experts de Kaspersky Lab, ce sont les crimes liés au vol d’argent qui se sont le plus répandus ces dernières années. Par conséquent, les informations qui suivent vont concerner principalement ce secteur du marché cybercriminel russe.

Le « marché » du travail de la cybercriminalité financière

La diversité des savoir-faire requis pour élaborer les « produits » et offrir les « services » a engendré un marché du travail pour les experts dont les cybercriminels ont besoin pour réaliser leurs délits financiers.

La liste des postes est pratiquement identique à celle de n’importe quelle société des technologies de l’information :

  • programmeurs/ codeurs/auteurs de virus (création de malwares ou modification de malwares en circulation) ;
  • designers Web (création de pages de phishing, de messages, etc.) ;
  • administrateurs système (mise en place de l’infrastructure informatique et entretien de celle-ci) ;
  • testeurs (test des malwares) ;
  • chiffreurs (chiffrement du code malveillant pour éviter sa détection par les antivirus).

Cette liste ne reprend pas les leaders des groupes criminels, les mules chargées de retirer l’argent des comptes compromis, ni les gestionnaires des mules qui supervisent le processus d’encaissement de l’argent volé car les relations établies entre ces membres des groupes criminels sont plus des relations de partenariat que des relations employeur-employés.

En fonction du type et de l’ampleur de l’opération criminelle, les leaders de groupe soit engagent des collaborateurs qu’ils rémunèrent avec un salaire fixe, soit ils choisissent des sous-traitants qui seront payés en fonction des projets.

La cybercriminalité financière russophone : fonctionnement

Annonce de recrutement d’un programmeur pour un groupe cybercriminel publiée dans un forum semi-clandestin. Parmi les caractéristiques recherchées : l’expérience dans le développement de bots complexes.

La sélection des « collaborateurs » du groupuscule criminel s’opère soit sur des sites qui attirent les utilisateurs impliqués dans des activités criminelles, soit sur des ressources consultées par les personnes à la recherche de revenus non traditionnels. Dans certains cas, ces annonces sont publiées sur des sites traditionnels de recherche d’emploi ou sur des sites de freelance.

Globalement, les individus recrutés pour ces activités cybercriminelles peuvent être répartis en deux types : ceux qui sont conscients du caractère illégal du projet auquel ils participent et ceux qui ne s’en rendent pas compte tout de suite. Dans ce cas, il s’agit de personnes indispensables à l’exécution de tâches relativement simples, comme la copie de l’interface du site d’une banque ou autre.

Lorsqu’ils publient ces offres d’emploi « authentiques », les cybercriminels espèrent le plus souvent trouver le bon candidat dans les province russes ou dans les pays limitrophes (principalement en Ukraine) où il est bien souvent difficile pour un expert en technologie de l’information de décrocher un travail avec un salaire décent.

La cybercriminalité financière russophone : fonctionnement

Un individu malintentionné a publié une annonce de recrutement d’un expert en java/flash sur un célèbre site ukrainien de recrutement pour spécialistes en technologie de l’information. Parmi les exigences avancées, une bonne maîtrise de la programmation en Flash, Java et une connaissance des spécifications JVM/AVM, etc. Le recruteur offre 2 500 dollars pour un télétravail à temps plein.

La logique derrière la volonté de recruter des « collaborateurs » issus de la province est purement économique : le salaire d’un employé en province sera inférieur à celui d’un employé issu d’une grande ville. Souvent, les criminels préfèrent engager des candidats qui ne sont pas encore impliqués dans une activité cybercriminelle.

Bien souvent, ces offres d’emploi sont présentées comme des offres légitimes et ce n’est qu’après avoir reçu la tâche à exécuter que le candidat sélectionné perçoit la véritable nature du travail.

La cybercriminalité financière russophone : fonctionnement

Dans cet exemple, le recruteur du groupe criminel propose un travail à un programmeur javascript au sein « d’un studio d’innovations Internet spécialisé dans le développement d’applications Internet complexes à charge élevée ».

Dans le cas des sites légitimes de recrutement, le public est moins expérimenté.

La cybercriminalité financière russophone : fonctionnement

Dans ce cas-ci, l’annonce recherche un développeur C++ pour le développement d’un logiciel « personnalisé ». Le logiciel « personnalisé » désigne en réalité un malware.

Le deuxième élément qui explique la recherche de « collaborateurs » freelance, c’est la volonté de l’organisateur de préserver au maximum l’anonymat du groupe et de créer les conditions dans lesquelles le collaborateur ne disposera pas des informations complètes sur l’identité du commanditaire.

Différentes organisations des groupes criminels

Les groupes criminels impliqués dans le vol d’argent ou d’informations financières qui permettent d’accéder à l’argent, se distinguent par le nombre d’intervenants et l’ampleur de l’activité. Il existe trois formes principales de participation :

  • les partenariats
  • les loups solitaires et les groupes de taille petite à moyenne (une dizaine de membres maximum)
  • les grands groupes organisés (plus de 10 collaborateurs)

Cette répartition est purement conventionnelle. L’ampleur de l’activité d’un groupe dépend de l’expérience de ses membres, de leur ambition et du niveau des capacités de l’organisation. Il est arrivé que Kaspersky Lab observe des groupes de criminels relativement modestes capables de réaliser des tâches nécessitant normalement l’implication d’un grand nombre d’individus.

Partenariats

Le partenariat est le moyen le plus simple et le moins cher de participer à une activité cybercriminelle. Les organisateurs du partenariat offrent aux « partenaires » presque tous les outils nécessaires à la réalisation du délit. La tâche des partenaires consiste à installer un maximum de malwares sur les périphériques des utilisateurs. En échange, le ou les propriétaires du partenariat partagent les revenus tirés des infections avec les partenaires. En fonction du type d’escroquerie, ce revenu peut provenir :

  • des sommes volées sur les comptes des utilisateurs de services de banque électronique ;
  • de l’argent versé par les utilisateurs à titre de rançon pour pouvoir récupérer l’accès aux données chiffrés par les malwares ;
  • de l’argent des comptes « pré-payés » des utilisateurs de périphériques mobiles reçu suite à l’envoi masqué de SMS vers des numéros surtaxés à l’aide d’un malware.

La mise en place et le maintien d’un partenariat destiné à voler de l’argent constituent en eux-mêmes un cybercrime commis par un groupe d’individus. Ceci étant dit, ce genre de projets est souvent réalisé par de grands groupes organisés que nous allons abordé un peu plus tard.

La cybercriminalité financière russophone : fonctionnement

Annonce sur l’organisation d’un test bêta d’un partenariat spécialisé dans la diffusion de malwares de chantage. D’après les caractéristiques, l’activité du groupe semble être orientée vers des sociétés établies aux Etats-Unis et en Grande-Bretagne. En effet, le message indique que le malware propagé via ce partenariat est capable de chiffrer des fichiers de 80 extensions différentes, dont une majorité appartenant aux fichiers d’applications utilisées dans des entreprises. Le candidat pour le test doit démontrer l’existence d’un trafic ou de téléchargements depuis les Etats-Unis et la Grande-Bretagne.

D’après les observations des experts de Kaspersky Lab, les partenariats sont de moins en moins souvent utilisés par les cybercriminels russophones ces derniers temps. Pendant longtemps, la popularité de ces partenariats avait été alimentée par les escroqueries qui prévoyaient l’infection des périphériques mobiles des utilisateurs à l’aide de malwares chargés d’envoyer des SMS à des numéros surtaxés. Toutefois, au printemps 2014, l’organisme de régulation russe a introduit de nouvelles exigences pour les organisations qui utilisaient ce genre de service. Il est désormais indispensable de confirmer l’abonnement au service mobile payant. Cette modification est un des éléments clés qui a pratiquement réduit à néant l’activité des partenariats de malwares pour périphériques mobiles. Ceci étant, cette forme de coopération entre cybercriminels est toujours d’actualité pour les groupes spécialisés dans la diffusion de malware de chiffrement.

Groupes de petite taille

Cette forme d’implication se distingue des partenariats par le fait que le ou les criminels organisent en général eux-même l’escroquerie. La majorité des éléments indispensables à l’attaque (le malware et ses modifications, le trafic, les serveurs, etc.) sont achetés sur le marché noir. Les membres de tels groupes sont rarement des spécialistes en technologie de l’information ou en réseaux. Ils vont tout simplement chercher les informations relatives aux éléments indispensables ainsi qu’aux méthodes d’organisation d’attaques financières sur les sources publiques que sont les forums. Les possibilités de ces groupes sont souvent limitées par différents facteurs. Notamment, l’utilisation d’un malware répandu provoque sa détection rapide par les logiciels antivirus, ce qui force les criminels à investir plus de moyens dans la propagation des malwares et leur « chiffrement » pour éviter la détection par les solutions de protection. Par conséquent, la quantité d’argent dont l’individu malintentionné dispose à l’issue de l’attaque diminue.

De plus, les erreurs commises par ces criminels permettent souvent de les identifier et de les arrêter. Ceci étant dit, le coût relativement faible de l’accès à cette activité cybercriminelle de niveau « amateur » (à partir de 200 dollars) et la possibilité de voler une somme de loin supérieure à cet investissement continuent d’attirer de nouveaux acteurs.

A titre d’exemple de groupe criminel « amateur » de cette catégorie, citons les membres d’un groupe condamné par un tribunal russe en 2012 pour le vol de plus de 13 millions de roubles (près de 422 000 dollars au cours de l’époque) auprès des utilisateurs d’un service de banque électronique d’une banque russe. A l’issue d’une enquête complexe, les experts de Kaspersky Lab ont réussi à récolter les informations qui ont permis aux autorités judiciaires et policières d’identifier les auteurs.

Les deux membres du groupe avaient été condamnés à une peine d’emprisonnement avec sursis de 4,5 ans. Toutefois, cette condamnation n’avait pas impressionné ces deux criminels qui ont repris leur activité pendant une période de 2,5 ans au cours de laquelle ils ont volé un montant comparable. Ils ont été à nouveau arrêtés en mai 2015.

Grands groupes criminels organisés

Les grands groupes criminels organisés se distinguent des catégories précédentes par l’ampleur de leurs opérations, par une démarche plus approfondie quant à l’organisation de crimes et par leurs principes de fonctionnement. Ces groupes peuvent compter plusieurs dizaines de membres (sans compter les mules utilisées pour encaisser et « blanchir » l’argent) et leurs attaques ne ciblent pas uniquement les utilisateurs privés de service de banque électronique. Ils visent également les petites et moyennes entreprises, tandis que les groupes les plus importants et les plus rusés, comme Carbanak, s’attaquent également aux banques et aux systèmes de paiement.

Le mode de fonctionnement des grands groupes se distinguent sensiblement de celui des groupes plus petits. Certains de ces groupes peuvent être comparés à une entreprise de taille moyenne qui se consacre au développement de logiciels.

Ainsi, les groupes plus importants possèdent une espèce de personnel sous la forme d’un groupe de collaborateurs qui réalisent les tâches confiées par l’organisateur contre une rémunération fixe. Mais même les grands groupes professionnels confient certaines des tâches à des freelances. Par exemple, le « chiffrement » des malwares peut être réalisé par des auteurs de virus employés ou freelance, voire à l’aide de services externes où une application spéciale automatise le processus. Il en va de même pour de nombreux autres composants de l’infrastructure informatique indispensables à l’exécution des délits.

Carberp est un exemple de grand groupe criminel organisé. Ses membres ont été arrêtés sur le territoire de la Fédération de Russie et en Ukraine en 2012 et 2013 respectivement. Citons également le groupe Carbanak détecté par Kaspersky Lab au début de l’année 2015.

S’il est vrai que les dommages infligés par les partenariats et les groupes de taille moyenne se chiffrent en dizaines et en centaines de milliers de dollars, les actions les plus dangereuses et les plus dévastatrices sont celles réalisées par grands groupes criminels. Les dommages infligés par le groupe Carberp s’élèvent à plusieurs centaines de millions de dollars tandis que d’après les estimations de Kaspersky Lab, le groupe Carbanak aurait pu voler jusqu’à un milliard de dollars. C’est la raison pour laquelle l’étude du fonctionnement et des tactiques de ces groupes est primordiale car elle permet de mener une surveillance plus efficace de leurs activités et de les déjouer.

Répartition des rôles au sein d’un groupe important

Un cybercrime financier retentissant est un crime qui va provoquer des pertes de plusieurs millions de dollars pour les organisations ciblées. Ces attaques sont le fruit de l’activité d’un vaste cercle de « spécialistes » criminels dans le secteur de la sécurité de l’information et des finances. En règle générale, ce genre d’attaque est précédé par un période de préparation de plusieurs mois. En plus de la mise en place de l’infrastructure complexe et de la sélection et du développement du malware, cette période permet d’analyser en profondeur l’organisation ciblée afin d’identifier les détails de ses opérations externes et les points faibles de sa sécurité. Chaque membre du groupe criminel possède des responsabilités définies.

La cybercriminalité financière russophone : fonctionnement

La répartition des rôles présentées ci-après est caractéristique des groupes criminels qui volent de l’argent. Cette répartition peut légèrement différer dans les groupes spécialisés dans d’autres types de crimes.

Auteur de virus/programmeur

L’auteur de virus ou le programme est chargé du développement du malware, à savoir du programme qui permettra aux attaquants de s’introduire dans le réseau informatique de la victime et de télécharger des malwares complémentaires qui récupèreront les informations requises pour atteindre l’objectif final, à savoir le vol de l’argent.

L’importance de cette fonction et sa relation avec l’organisateur du groupe criminel peut varier en fonction des groupes. Si le groupe adopte un malware prêt à l’emploi obtenu sur une ressource accessible ou acheté à d’autres auteurs de virus, sa fonction pourra se limiter uniquement à la configuration et à la modification du malware pour le rendre compatible avec l’infrastructure spéciale mise en place pour commettre le cybercrime ou à l’adaptation du malware à l’attaque contre des institutions définies. Toutefois, les groupes les plus développés s’efforcent d’utiliser leur propre « matériel » car cela réduit le risque de détection du malware par la majorité des logiciels antivirus et les possibilités de modification du malware sont beaucoup plus importantes. Dans ce cas, le rôle de l’auteur de virus est bien plus important car c’est lui qui va élaborer l’architecture du malware et ses fonctions.

L’auteur de virus peut également être affecté à la tâche de « chiffrement » du malware. Cette situation se présente lorsque l’organisateur tente de réaliser un maximum de tâches au sein du groupe et que le « chiffrement » des malwares est réalisé à l’aide d’une application originale. Dans la majorité des cas, cette tâche spécifique est confiée à un sous-traitant ou à un service de chiffrement.

Testeurs

Le rôle des testeurs au sein d’un groupe criminel se distingue très peu du rôle des testeurs au sein d’une société informatique légitime. A l’instar de leurs confrères employés par des sociétés légitimes, les testeurs au sein d’un groupe cybercriminel doivent réaliser des tâches techniques visant à tester les malwares dans différents environnements (différentes versions du système d’exploitation, différentes sélections d’applications installées, etc.). Si l’escroquerie implique des copies de l’interface d’un système de banque électronique ou d’un système de paiement, les testeurs doivent également vérifier le bon fonctionnement de celles-ci.

Designers et développeurs Web

En règle générale, les designers et les développeurs Web sont des freelances chargés de créer les pages et les sites de phishing, les fausses interfaces d’application et des injections Web utilisées pour voler les données d’accès aux systèmes de paiement ou de banque électronique.

Diffuseurs

Le diffuseur doit garantir le téléchargement du malware sur un maximum de périphérique. Il utilise pour ce faire plusieurs outils. En règle générale, l’organisateur dresse le profil des utilisateurs à infecter et achète le trafic requis auprès de services spécialisés dans l’acheminement d’utilisateurs répondant à certaines caractéristiques vers un site déterminé.

La cybercriminalité financière russophone : fonctionnement

Annonce pour l’achat de trafic Cybercriminels prêts à payer uniquement les installations réussies du malware à un tarif de 140 USD pour 1 000 « Call back » (message du malware envoyé au serveur de commande après une infection réussie)

L’organisateur peut solliciter une diffusion de spam malveillant au service adéquat. Cette diffusion contiendra soit un fichier infecté en pièce jointe, soit un lien qui conduira la victime sur un site malveillant. Les organisateurs peuvent également décider de choisir eux-même le site qui correspond à leur public cible et commander une attaque contre ce site en vue de l’installation d’un kit d’exploitation. Il va de soi que ces outils peuvent être utilisés simultanément.

Hacker

Il peut arriver lors d’une attaque contre une organisation quelconque que l’organisateur ne parviennent pas à infecter tous les ordinateurs requis pour l’attaque à l’aide des seuls codes d’exploitation et autres malwares dont il dispose. Parfois, il faut mener une attaque ciblée contre un ordinateur ou un site en particulier. Dans ce cas, les organisateurs font appel à des hackers qui sont en général des experts dans le domaine des technologies de l’information, dotés des capacités pour réaliser des tâches qui sortent de l’ordinaire. Dans de nombreux cas étudiés par les experts de Kaspersky Lab, les hackers interviennent de manière ponctuelle et leur travail est rémunéré selon forfait. Toutefois, lorsque la nécessité de pirater un système devient fréquente (par exemple, dans le cas d’attaques ciblées contre des institutions financières), le hacker devient un membre permanent du groupe et bien souvent, un des éléments clés, au même titre que l’organisateur ou les individus chargés d’encaisser l’argent.

Administrateurs système

La tâche principale des administrateurs système qui travaillent pour un groupe cybercriminel ressemble beaucoup à celle d’un administrateur système conventionnel. Il doit déployer l’infrastructure informatique indispensable et la maintenir en état de fonctionnement. Dans un milieu cybercriminel, l’administrateur système se charge de la configuration des serveurs d’administration, achète des serveurs chez des hébergeurs de type « bullet-proof », garantit la présence d’outil pour établir une connexion anonyme aux serveurs (VPN) et résout d’autres tâches techniques dont l’interaction avec les administrateurs système freelance engagés pour les petites tâches.

Services d’appel

L’ingénierie sociale occupe une place primordiale dans la réussite de toute opération cybercriminelle. Surtout lorsqu’il s’agit d’attaques contre des organisations qui pourraient permettre de voler d’importantes sommes d’argent. Dans la majorité des cas, même si les individus malintentionnés parviennent à prendre les commandes d’un ordinateur capable de réaliser des transactions, pour que ces dernières puissent être concrétisées, il faut les légitimer. C’est ici qu’interviennent les services d’appel Le moment venu, les « collaborateurs » jouent le rôle soit d’un employé de l’organisation attaquée,soit d’un employé d’une banque avec laquelle l’organisation travaille et ils confirment la légitimité du paiement.

Les services d’appel peuvent fonctionner comme département à part entière du groupe criminel ou comme organisation externe qui exécute une tâche ponctuelle pour un montant convenu. Les forums qui réunissent les personnes impliquées dans la cybercriminalité débordent de publicités pour des services de ce genre.

La cybercriminalité financière russophone : fonctionnement

Annonce pour l’offre de services d’appel en anglais, allemand, néerlandais et français. Le groupe se spécialise dans les appels aux magasins en ligne, aux banques, voire aux mules involontaires. Ce groupe offre également la mise en place rapide de numéros verts locaux utilisés dans le cadre d’escroquerie pour imiter un service d’aide à la clientèle, recevoir des SMS ou recevoir et envoyer des fax. Les criminels facturent 10 à 12 dollars par appel. 10 USD pour la réception d’un SMS et à partir de 15 USD pour la mise en place d’un numéro vert d’assistance technique.

D’après les observations de Kaspersky Lab, les grands groupes cybercriminels utilisent rarement des services d’appel externes. Ils préfèrent mettre en place leur propre structure.

Encaisseurs

Les encaisseurs sont les membres du groupe cybercriminel qui entrent en scène lorsque tous les aspects techniques de l’attaque (sélection et infection des cibles, consolidation de la présence dans l’infrastructure de la victime) ont été réalisés et que tout est prêt pour le vol en question. Les encaisseurs sont les personnes qui retirent l’argent des comptes compromis. Toutefois, leur rôle ne se limite pas simplement à appuyer sur un bouton. Leur fonction est déterminante pour l’ensemble de l’opération.

En général, les encaisseurs connaissent parfaitement le fonctionnement interne de l’organisation attaquées (jusqu’à l’heure à laquelle l’employé qui utilise l’ordinateur qui interviendra dans la réalisation de la transaction frauduleuse va manger), ils connaissent le fonctionnement exact des systèmes automatisés de lutte contre les escroqueries et savent comment agir pour contourner ces systèmes. En d’autres termes, en plus de leur rôle criminel de voleur direct de l’argent, les encaisseurs réalisent également les tâches « spéciales » qu’il est difficile, voire impossible, d’automatiser. C’est probablement en raison de cette position particulière que l’encaisseur est un des rares membres du groupe criminel qui ne reçoit pas un salaire « fixe » pour sa participation mais bien un pourcentage de la somme volée.

Souvent, les encaisseurs remplissent également le rôle d’exploitant du réseau de zombies. Cette fonction correspond à l’analyse et au classement des informations recueillies sur les ordinateurs infectés (accès au système de banque électronique, solde positif sur les comptes accessibles, organisation à laquelle appartient l’ordinateur infecté, etc.)

Les gestionnaires de mules sont les seuls autres membres du groupe qui peuvent également remplir cette fonction.

Gestionnaire de mules

Le gestionnaire de mules est le représentant d’un groupe criminel distinct qui travaille en étroite collaboration avec le groupe qui vole l’argent. Ces mules ont pour fonction de recevoir l’argent volé, de l’encaisser ou de transférer une partie convenue au groupe criminel. Pour ce faire, le groupe de mules crée sa propre infrastructure qui réunit des personnes physiques et morales qui détiennent des comptes en banque sur lesquels l’argent volé est transféré avant d’être envoyé aux individus malintentionnés. Le gestionnaire de mules interagit avec l’organisateur du groupe criminel et lui transmet les numéros des comptes sur lesquels l’encaisseur va envoyer l’argent. Les mules, tout comme l’encaisseur, sont rémunérées par une commission qui, d’après les informations obtenues par Kaspersky Lab durant l’enquête, peut atteindre la moitié de l’argent volé.

Groupes de mules

Les groupes de mules sont un élément indispensable à tout cybercrime lié aux finances. Ces groupes sont composés d’un ou de plusieurs organisateurs et de mules dont le nombre peut atteindre plusieurs dizaines.

Une mule est un détenteur de moyens de paiement qui, sur commande d’un responsable, encaisse l’argent qui arrive sur son compte ou le transfert vers un autre compte renseigné par le responsable.

Il existe deux types de mules : les mules involontaires et les mules volontaires Les mules involontaires sont des personnes qui, du moins au début de leur coopération avec le responsable, ne se doutent pas qu’elles participent à une activité criminelle. En général, les mules involontaires sont amenées à recevoir et à transférer de l’argent pour les raisons les plus diverses. Par exemple, le responsable des mules peut créer une personne morale et engager dans une fonction exécutive (directeur général ou directeur financier) une personne qui remplira le rôle de mule involontaire : elle signera les documents de l’entreprise qui serviront en réalité de couverture légale au retrait de l’argent volé.

Les mules volontaires savent exactement pourquoi ils réalisent les tâches assignées par le responsable.

Les groupes de mules utilisent les méthodes les plus diverses pour récupérer l’argent. En fonction du montant volé, le système peut recourir à des particuliers qui détiennent des cartes de paiement et qui sont disposés, en échange d’une petite somme, à encaisser l’argent reçu ou à l’envoyer au représentant du responsable des mules, ou à des personnes morales spécialement créées pour l’occasion et dont les représentants créent des « projets de paiement » (multitude de cartes de paiement pour les employés de la société en vue de payer les salaires) dans la banque utilisée par cette personne morale.

Une autre méthode standard repose sur l’ouverture en masse de comptes en banque par des mules involontaires dans différentes banques.

La cybercriminalité financière russophone : fonctionnement

Annonce pour la vente d’un ensemble de cartes de paiement (carte, documents présentés pour l’émission de la carte, carte SIM associée au compte en banque de la carte) qui peuvent être utilisées pour encaisser l’argent volé. Le vendeur propose des cartes émises par de banques de Russie et des Etats limitrophes, d’Europe, d’Asie et des Etats-Unis. L’ensemble de type Momentum affiche une valeur de 3 000 roubles (moins de 50 dollars) tandis qu’une carte Platinum coûtera 8 000 roubles (près de 120 dollars).

Lorsque le vol a lieu au-delà des frontières russes, la mule involontaire est un citoyen ou un groupe de citoyens d’un pays d’Europe de l’Est qui se rendent en peu de temps dans différents pays afin d’y ouvrir des comptes en banque à leur nom. Ensuite, les mules volontaires transmettent les données d’accès à tout ces comptes au responsables des mules et ces comptes serviront pour retirer l’argent.

La cybercriminalité financière russophone : fonctionnement

Exemple d’annonce pour la vente de sociétés clés sur porte dans la Fédération de Russie ou dans des zones off-shore. Les criminels proposent leurs services à un prix compris entre 560 et 750 USD.

Stuffers

Stuffer est un mot dérivé de l’anglet « stuff » (argot pour marchandises). Une des méthodes utilisées pour récupérer l’argent volé consiste à acheter des articles dans un magasin en ligne à l’aide de moyens de paiement volés, de les revendre et de renvoyer un pourcentage convenu aux voleurs. C’est la tâche des stuffers, ces membres du groupe cybercriminel qui dépensent l’argent des comptes compromis dans l’achat d’articles sur Internet.

Le stuffer est une catégorie d’encaisseur, toutefois l’obtention de l’argent via l’achat d’un article est une pratique adoptée lorsque les sommes volées sont modestes. En règle générale, les stuffers travaillent en étroite collaboration avec des receleurs. Cette coopération entraîne souvent des commandes concrètes de la part des receleurs pour un type de marchandise en particulier, parfois même d’un producteur ou d’un modèle précis.

Organisateur

Si l’on envisage le cybercrime comme un projet, alors l’organisateur du groupe criminel est un peu le directeur général. C’est lui qui se charge du financement des préparatifs de l’attaque, qui attribue les tâches aux collaborateurs, qui surveillent la progression et qui communique avec les agents externes comme les groupes de mules et les services d’appel (le cas échéant). L’organisateur détermine les objectifs de l’attaque, recrute les « experts » indispensables et organise les paiements.

Etapes de la réalisation d’une attaque

Il faut signaler que la classification présentée ci-dessus n’est pas figée. Il peut arriver qu’un même individu au sein d’un groupe criminel remplisse plusieurs fonctions. Ceci étant dit, les rôles et fonctions décrits ci-dessus, quel que soit le nombre d’individus qui les remplissent, apparaissent dans presque tous les cybercrimes liés au vol d’argent. Voici comment ils travaillent de manière concrète.

1. Analyse préalable S’il s’agit d’une attaque ciblée contre une société en particulier, l’organisateur va d’abord demander à ses collaborateurs de récolter des informations sur la société en question afin de pouvoir élaborer les techniques d’ingénierie sociale les mieux adaptées à la première étape de l’attaque. S’il s’agit d’une attaque contre des particuliers, ce travail de renseignement n’a pas lieu ou se limite simplement à l’identification d’un « public cible » pour l’attaque (par exemple, les utilisateurs du service de banque électronique d’une banque définie) et à la rédaction ou la création de messages ou de sites de phishing au contenu adéquat.

2. Infection L’intrusion dans le réseau est le fruit d’une diffusion ciblée (harponnage) ou massive de messages de phishing contenant un document spécial en pièce jointe ou un lien malveillant vers une ressource externe. L’ouverture de la pièce jointe ou l’accès au site entraîne l’infection du système par le malware. Souvent, l’infection est automatique, sans intervention de l’utilisateur. Après que le destinataire du message a cliqué sur le lien, le malware est téléchargé automatiquement sur l’ordinateur, puis y il est exécuté (attaque de type « drive-by »).

Dans d’autres cas, l’infection est organisée via des sites fréquentés qui ont été compromis et dont le code contient des instructions de redirection vers un site tiers qui héberge des kits d’exploitation. L’ordinateur de la victime est infecté par le malware lorsque l’utilisateur arrive sur ce site.

Ensuite, les cybercriminels utilisent divers outils malveillants afin de renforcer leur présence dans le système infecté. Par exemple, ils compromettent l’intranet d’une organisation et y installe le malware afin de permettre la réinstallation de ce dernier au cas où une solution de sécurité sur les ordinateurs attaqués éliminerait la version antérieure. De plus, les individus malintentionnés installent souvent dans l’infrastructure attaquée une application qui permet d’accéder directement au réseau interne de l’organisation depuis l’extérieur.

3. Renseignement et exécution. Les criminels installent des applications d’administration à distance sur les ordinateurs compromis afin de pouvoir récupérer les données des comptes administrateur système. Des programmes d’administration à distance légitimes dont les fonctions sont connues de nombreux utilisateurs sont fréquemment utilisés.

4. Vol de l’argent. La dernière étape de l’attaque correspond à l’accès aux systèmes d’interaction avec les finances et au transfert de l’argent depuis les comptes de l’organisation attaquées vers les comptes des mules. L’attaque peut également prendre la forme d’un retrait direct depuis des distributeurs automatiques.

Conclusion

Plusieurs facteurs expliquent le développement ces dernières années de la cybercriminalité financière organisée russophone. Voici les principaux :

  • manque de cadres qualifiés dans les organes policiers ;
  • vides législatifs qui permettent aux criminels d’échapper à la loi dans la majorité des cas ou d’être condamnés à des peines légères ;
  • absence de procédures établies de coopération internationale entre les autorités judiciaires et policières et les experts de différents pays.

A la différence de ce qui se passe dans le monde réel, les vols dans le cyberespace ne se remarquent pas et la période pendant laquelle il est possible de récolter des preuves numériques après le crime est limitée. De plus, les criminels ne doivent pas se trouver obligatoirement sur le territoire du pays où le crime a lieu.

Malheureusement, les conditions pour les cybercriminels russophones sont pour l’instant plus que favorables : faible risque de poursuites judiciaires et revenu potentiellement élevé pour un acte criminel réussi. Par conséquent, le nombre de crimes et le volume des dommages augmentent, tout comme le marché des services cybercriminels s’active.

L’absence de mécanismes établis de coopération international joue également en faveur des criminels : par exemple, les experts de Kaspersky Lab savent que les membres de certains groupes criminels vivent en permanence dans des Etats limitrophes de la Russie et y travaillent. Et les citoyens des Etats limitrophes impliqués dans l’activité criminelle agissent bien souvent depuis la Fédération de Russie.

Kaspersky Lab déploie tous ses efforts pour interrompre l’activité des groupes cybercriminels et invitent les autres sociétés ainsi que les autorités policières et judiciaires de tous les pays à coopérer.

L’enquête internationale sur l’activité du groupe Carbanak, lancée à l’initiative de la société, est un exemple de réussite en matière de coopération internationale. Toutefois, pour que les choses changent vraiment, il faudra beaucoup plus d’exemples de ce genre.

Contexte Présentation du Service d’enquête de Kaspersky Lab sur les incidents informatiques

Kaspersky Lab est connu avant tout pour le développement de systèmes de protection contre les malwares. Mais la société propose également des services de protection complexe des informations, dont un service d’enquête sur les incidents informatiques.

Les témoignages relatifs à l’incident prennent en général la forme de chiffres et ils doivent être recueillis et enregistrés de telle sorte qu’ils ne seront pas mis en doute par les enquêteurs et le juge lorsque la victime portera plainte pour le crime dont elle a souffert.

Les tâches du Service d’enquête de Kaspersky Lab sur les incidents informatiques sont les suivantes :

  • réaction face aux incidents de sécurité informatique et analyse efficace de la situation ;
  • recueil des preuves numériques des incidents informatiques et définition des circonstances associées à l’aide de méthodes définies ;
  • études des preuves recueillies, recherche sur Internet d’informations liées aux circonstances de l’incident, enregistrement de ces informations ;
  • préparation des documents pour la présentation de la plainte devant les autorités judiciaires et policières ;
  • mise à disposition d’experts pour l’enquête et les recherches.

La réaction aux incidents de sécurité informatique et la mise à disposition d’experts pour l’enquête et les recherches requièrent la manipulation d’un volume imposant de données dont l’analyse, avec les statistiques relatives aux objets malveillants détectés, permet de mettre en évidence l’ampleur et le développement du comportement criminel dans le cyberespace.

Ce service a été créé en 2011. 6 criminologues spécialisés y travaillent.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *