Succès de l’opération internationale menée contre Shylock

A l’instar de nombreuses autres activités criminelles rentables, le cheval de Troie Shylock avait pu survivre grâce à une infrastructure souple qui lui permettait de toujours garder une longueur d’avance sur ses adversaires, qu’il s’agisse de spécialistes en sécurité ou des autorités policières et judiciaires. Toutefois, le jeu du chat et de la souris s’est terminé la semaine dernière.

Les autorités policières et judiciaires et les représentants du secteur Internet de différents pays ont uni leurs efforts pour porter un coup décisif contre l’infrastructure de Shylock. L’agence britannique de lutte contre la criminalité (NCA) s’était chargée de la coordination de l’opération, menée avec l’appui d’Europol, du FBI, du GCHQ (centre d’écoute du gouvernement) du Royaume-Uni, de BAE Systems Applied Intelligence, de Kaspersky Lab et de Dell Secure Works.

Le communiqué publié par Europol indique que « Les mesures adoptées par les autorités judiciaires et policières visaient à perturber le système dont dépendait le fonctionnement efficace de Shylock. Les serveurs impliqués dans l’administration du programme malveillant ont été saisis, à l’instar des domaines utilisés dans le cadre de la communication avec les ordinateurs infectés."

Europol n’indique pas où se trouvait l’infrastructure de commande de Shylock. Tout ce que l’on sait, c’est que cette opération conjointe a impliqué des représentants italiens, hollandais, turcs, allemands, français et polonais. Le groupe européen d’intervention rapide face aux incidents informatiques (CERT-EU) a été d’une grande aide en fournissant toutes les informations relatives aux domaines utilisés par le cheval de Troie. D’après les informations disponibles, aucune interpellation n’aurait eu lieu. Toutefois, l’opération a permis de mettre à jour des parties inconnues jusque là de l’infrastructure de Shylock. Europol n’exclut pas que cette découverte entraîne des actions en justice.

Troels Oerting, directeur du Centre européen de lutte contre la cybercriminalité (EC3) placé sous l’égide d’Europol, a déclaré : "J’ai eu la chance d’observer la coopération entre les officiers de police et les représentants du parquet de différents pays et je dois dire que tout s’est bien déroulé. Nous avons une fois de plus confirmé notre capacité croissante à réagir rapidement aux cybermenaces, tant sur le territoire de l’Union européenne que dans d’autres régions. C’est un nouveau pas franchi dans la bonne direction pour les autorités policières et judiciaires européennes et je tiens à remercier toutes les personnes impliquées pour leur attitude responsable et leur dévouement".

Shylock, à l’instar de ZeuS, recherchent les mots de passe d’accès aux comptes en banque en ligne et se propage via des liens malveillants. Il a fait son apparition en 2011 et au début de sa carrière, il n’attaquait que les Britanniques. Il a très vite étendu son rayon d’action à l’Europe de l’Ouest avant de se tourner vers les Etats-Unis. La partie résidente de Shylock est capable d’organiser des attaques de type homme du milieu et sa liste de cibles compte plus de 20 banques.

Les exploitants de Shylock dissimulent leurs traces avec minutie. Ce cheval de Troie, à l’instar de programmes malveillants identiques comme Pushdo, ZeuS ou TDL/TDSS, a appris à utiliser un algorithme DGA pour masquer le référentiel contenant les données volées. Une version de Shylock diffusée via Skype, des ressources réseau partagée ou des clés USB fut découverte en janvier 2013. Il est capable de voler les cookies d’un navigateur, il utilise les injections Web et peut télécharger et exécuter d’autres fichiers.

Serge Golovanov, principal expert pour Kaspersky Lab explique : "Les campagnes de fraudes bancaires ont cessé depuis longtemps d’être des phénomènes occasionnels. Nous observons une hausse constante de ces opérations malveillantes. Dans le cadre de la lutte contre la cybercriminalité, nous fournissons aux autorités judiciaires et policières de différents pays les données relatives aux menaces et nous coopérons avec des organisations telles qu’Europol. Les actions internationales donnent des résultats. L’opération menée contre Shylock en est un exemple vivant". D’après Serge Golovanov, le nombre de cyberattaques impliquant des programmes malveillants développés pour voler des informations financières a atteint 27,6 % en 2013, soit 28,4 millions d’attaques.

Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *