Sur la piste de Lurk

Notre rôle dans le démantèlement d'une des bandes de cybercriminels financiers les plus dangereuses

Contenu

Au début du mois de juin de cette année, les autorités judiciaires et policières russes ont arrêté les membres présumés d’une organisation criminelle soupçonnée d’avoir volé près de 3 milliards de roubles. D’après les données dont disposent les enquêteurs, les membres du groupe Lurk avaient mis en place un système qui permettait de voler d’importantes sommes d’argent sur les comptes d’organisations commerciales, dont des banques, à l’aide d’un malware. Au cours des six dernières années, le Service d’enquête sur les incidents informatiques de Kaspersky Lab a étudié l’activité de ce groupe et au printemps 2016, nous avions accumulé un savoir non négligeable sur son fonctionnement. Nous sommes ravis qu’il ait été utile aux autorités judiciaires et policières, qu’il ait contribué à l’arrestation des suspects et que, plus important encore, il ait permis de mettre un terme aux vols organisés par le groupe. De notre côté, ces travaux d’enquête nous ont permis d’accumuler une expérience unique. Le présent article est somme toute une tentative de partager notre expérience avec la communauté des experts et plus particulièrement des spécialistes en sécurité de l’information qui travaillent dans des entreprises ou des institutions financières. Autrement dit, les acteurs économiques qui sont de plus en plus souvent victimes de cyberattaques.

Au début, Lurk n’était qu’un trojan anonyme, apparu sur nos radars en 2011. Nous avions appris l’occurrence de plusieurs incidents dans le cadre desquels d’importantes sommes d’argent avaient été dérobées auprès de clients de plusieurs banques russes par des criminels inconnus. Pour réaliser ces vols, ces criminels avaient utilisé un malware masqué qui interagissait automatiquement avec l’application d’accès au système de banque électronique : le malware substituait les données dans les virements programmés par le comptable de l’organisation attaquée ou créait lui-même des virements.

Aujourd’hui, en 2016, il peut paraître étrange de découvrir que les applications de transactions bancaires n’imposaient à l’époque aucune mesure d’identification complémentaire : pour pouvoir voler directement l’argent, les individus malintentionnés n’avaient, dans la plupart des cas, qu’à infecter l’ordinateur sur lequel était installé l’application assurant l’interface avec le système de banque électronique. En 2011, le système bancaire en Russie, à l’instar de celui de nombreux autres pays, n’était pas prêt à faire face à de telles attaques et les individus malintentionnés ont tout fait pour exploiter cette situation.

A l’époque, nous avions participé à des enquêtes de plusieurs incidents qui impliquaient un malware anonyme. Nous l’avions alors transmis aux experts de notre laboratoire antivirus et ceux-ci avaient créé une signature afin de voir s’il avait été impliqué dans d’autres infections. C’est ainsi que nous avons mis le doigt sur une particularité bien étrange : notre système interne de dénomination des malwares indiquait que nous étions face à un autre trojan qui faisait tout (par exemple, diffuser du courrier indésirable), sauf voler de l’argent.

Dans la pratique quotidienne chez Kaspersky Lab, il peut arriver qu’un programme doté d’un ensemble de fonction soit détecté par erreur en tant que programme d’une toute autre catégorie. Dans le cas de ce programme en particulier, il avait été détecté par la signature « générique » car rien dans son comportement ne permettait de l’associer à un groupe spécifique comme celui des trojans bancaires par exemple.

Mais les faits étaient là : ce malware était utilisé pour voler de l’argent.

C’est la raison pour laquelle nous décidâmes d’étudier le malware plus en profondeur. Malheureusement, les premières tentatives d’analyses menées par nos experts pour comprendre l’organisation du programme ne débouchèrent sur rien. Son comportement était toujours le même, qu’il soit lancé sur une machine virtuelle ou sur un ordinateur physique : il ne se passait rien. D’ailleurs, c’est à cette absence de comportement qu’il doit son nom : Lurk est un verbe anglais qui signifie se tapir.

Nous eûmes rapidement la chance d’enquêter sur un nouveau cas qui impliquait Lurk. Cette fois-ci, nous avions été en mesure d’étudier une image de l’ordinateur attaqué et sur lequel nous avions retrouvé non seulement le malware, mais également un fichier .dll avec lequel le fichier exécutable principal interagissait. Nous étions donc en présence des premiers éléments qui démontraient que Lurk possédait une structure modulaire.

Quelques années plus tard, alors que nous avions déjà amassé un volume considérable d’informations relatives au malware, nous avons découvert que Lurk possédait toute une série de modules, mais ceux-ci sont apparus progressivement. Ainsi, en 2011, il semblerait que Lurk n’en était qu’aux première étapes de son développement et ne comptait que deux modules.

La découverte d’un nouveau fichier permit de lever un petit coin du voile sur la nature de Lurk. Il était clair que nous étions en présence d’un trojan qui visait les systèmes de banques électroniques et qui avait été impliqué dans un nombre relativement restreint d’incidents. En 2011, les attaques contre ce genre de système ne faisaient que commencer. Ceci étant dit, nous avions déjà découvert quelques autres programmes similaires : le plus ancien d’entre eux avait été détecté en 2006 et par la suite, de nouveaux malwares aux fonctions similaires ont commencé à faire régulièrement leur apparition. Il suffit de se souvenir de malwares tels que Zeus, SpyEye, Carberp, etc. Lurk n’était qu’un malware dangereux parmi d’autres.

Il était particulièrement difficile de faire fonctionner Lurk en laboratoire. Les nouvelles versions du malware se faisaient aussi rares que les nouveaux incidents dans lesquels il était impliqué. L’ensemble de ces éléments nous amena en 2011 à suspendre les travaux d’étude de ce malware pour nous concentrer sur des tâches plus urgentes.

Changement de leader

Pendant environ un an après notre première rencontre avec Lurk, nous n’avons plus rien entendu de remarquable à son sujet. En réalité, comme nous l’avons appris par la suite, les incidents dans lesquels ce malware était impliqué étaient étouffés par tous les autres incidents semblables où intervenaient d’autres malwares. En mai 2011, le code source du trojan ZeuS fut publié, ce qui entraîna une avalanche de modifications de cette application développées par de petits groupes de cybercriminels. ZeuS coexistait avec plusieurs autres malwares financiers uniques.

Plusieurs groupes de cybercriminels relativement importants qui organisaient des attaques contre les systèmes de banque électronique opéraient en Russie et le plus actif à cet époque était Carberp. A la fin du mois de mars 2012, la majorité des membres de ce groupe fut arrêtée par les autorités policières et judiciaires. Ce coup de filet eut un effet perceptible dans le milieu de la cybercriminalité russe car ce groupe avait réussi à voler des centaines de millions de roubles en quelques années et il était presque considéré comme le leader parmi les cybercriminels. Ceci étant dit, à l’époque des interpellations des membres de Carberp, ce groupe était loin d’être le plus gros joueur.

Quelques jours avant cette vague d’arrestations, les sites de plusieurs grands groupes médiatiques russes comme l’agence « RIA Novosti », Gazeta.ru et d’autres furent victime d’une attaque de trou d’eau (watering hole). Des criminels jusque-là inconnus avaient exploité une vulnérabilité dans le système d’échange de bannières publicitaires pour diffuser un malware via ces sites. Les internautes accédaient aux sites et étaient redirigés vers une page créée par des individus malintentionnés. Celle-ci hébergeait un code d’exploitation Java (une application très répandue et très vulnérable à l’époque). L’exploitation réussie de la vulnérabilité entraînait le lancement d’un malware dont la principale fonction était la collecte d’informations relatives à l’ordinateur attaqué, suivie du transfert de celles-ci au serveur des individus malintentionnés et, dans certains cas, de la récupération sur le serveur d’une charge utile complémentaire et de l’installation de cette dernière.

Du point de vue technique, le malware était inhabituel : à la différence de la grande majorité des autres malwares, celui-ci ne laissait aucune trace sur le disque dur du système attaqué et il fonctionnait uniquement dans la mémoire vive de l’ordinateur. On rencontre rarement ce genre de fonctionnement dans les malwares, principalement en raison de la « brièveté » de ce genre d’infection : le malware « vit » dans le système jusqu’au redémarrage de l’ordinateur, lorsqu’il reprend un processus d’infection. Dans le cas des attaques de 2012, le malware dissimulé « sans corps » n’avait pas besoin de s’incruster dans le système. Sa fonction principale était l’espionnage. Le téléchargement et l’installation d’un malware complémentaire n’étaient que sa deuxième fonction. L’autre élément intéressant était que le téléchargement du malware n’avait lieu que dans un nombre restreint de cas : quand l’ordinateur attaqué était « intéressant ».

L’analyse du malware  » sans corps  » allait démontrer qu’il considérait comme « intéressant » tout ordinateur doté d’une application d’accès au système de banque électronique d’un des grands développeurs russes. Ce n’est que bien plus tard que nous avons appris que ce module anonyme sans corps était mini, un des nombreux malwares utilisés par Lurk. Mais à l’époque, nous n’étions pas encore certains que le même groupe d’individus se trouvait derrière la version de Lurk connue depuis 2011 et celle que nous avions détectée en 2012. Nous avions deux hypothèses : soit Lurk était un malware qui avait été réalisé pour la vente et les versions de 2011 et de 2012 étaient le fruit de l’activité de deux groupes distincts qui avaient acheté le malware, soit la version de 2012 était une évolution du trojan que nous connaissions déjà.

L’avenir allait confirmer cette deuxième hypothèse.

Guerre invisible contre le malware bancaire

Nous allons ouvrir une petite parenthèse. Les systèmes de banque électronique sont composés de deux parties fondamentales : la partie axée sur la banque et celle axée sur le client. La partie axée sur le client désigne la petite application qui permet à l’utilisateur (en général, un comptable) de réaliser des opérations à distance sur les comptes de l’entreprise. Les éditeurs de ce genre d’application se comptent sur les doigts de la main en Russie et c’est la raison pour laquelle toute entreprise russe qui a adopté un système de banque électronique utilisera l’application d’un de ces éditeurs. Ce nombre restreint d’options a constitué un atout pour les cybercriminels spécialisés dans les attaques contre les systèmes de banques électroniques.

En avril 2013, un peu plus d’un an après la découverte du module sans corps de Lurk, il existait dans le milieu cybercriminel russe plusieurs familles d’un malware spécialisé dans les attaques contre les systèmes de banques électroniques. Elles fonctionnaient presque toutes de la même manière : au cours de la phase d’espionnage, elles vérifiaient si l’ordinateur attaqué était doté de l’application bancaire requise. Ensuite, elles téléchargeaient les modules complémentaires, y compris ceux capables de créer automatiquement des ordres de virement non autorisés, de modifier les données des virements licites, etc. Ce niveau d’automatisation était possible car les criminels avaient étudié en profondeur les mécanismes de fonctionnement de l’application bancaire et adaptaient les modules malveillants de leurs malwares à une application bancaire en particulier.

C’est ainsi qu’agissait les individus à l’origine de la création et de la diffusion de Lurk. Ils prenaient simplement la partie client de l’application bancaire, étudiait son fonctionnement dans les moindres détails et modifiaient en conséquence l’aspect du malware. Ils créaient en fait un complément illégal pour un produit légal.

Grâce aux canaux d’échange d’informations sectoriels, nous avons appris que les services de sécurité de quelques banques russes étaient confrontés à des malwares créés spécialement pour attaquer un type particulier de logiciel légitime. Ils devaient parfois diffuser des mises à jour pour leurs clients chaque semaine. Ces mises à jour éliminaient les problèmes de sécurité du moment, mais les pirates discrets diffusaient rapidement une nouvelle version du malware qui se jouait de la protection mise en place par les éditeurs des logiciels bancaires.

Il faut bien comprendre que ce genre de travail, à savoir la rétro-ingénierie d’une application bancaire développée par des professionnels, est une tâche qui n’est pas à la portée du premier pirate amateur venu. De plus, il s’agit d’une tâche éreintante qui demande beaucoup de travail. Bref, ce n’est pas le genre de projet qu’on réalise par pur enthousiasme. Il s’agissait peut-être ici d’une équipe de spécialistes. Mais d’abord, quel genre de personne accepterait de réaliser un travail ouvertement illégal et disposerait des fonds nécessaires pour garantir la poursuite d’une telle activité ? C’est en nous posant des questions similaires que nous sommes arrivés à la conclusion que les différentes versions du malware Lurk devaient provenir d’un groupe organisé de spécialistes dans le domaine de la cybercriminalité.

Après l’accalmie des années 2011-2012, nous avons commencé à recevoir à nouveau des informations relatives à des incidents de vol d’argent qui impliquaient Lurk. Grâce au fait que les entreprises victimes de ces attaques se tournaient vers nous, nous recevions mois après mois de nouvelles informations sur l’activité de Lurk. Vers la fin de l’année 2013, sur la base des seules informations obtenues lors de l’étude des images des disques durs des ordinateurs attaqués et de l’analyse des sources de données publiquement accessibles, nous avons été en mesure de dresser le portrait approximatif du groupe d’utilisateurs Internet qui semblaient avoir un rapport avec Lurk.

La tâche avait été loin d’être simple. Les personnes à l’origine de Lurk maîtrisaient parfaitement les outils qui permettaient de masquer leur activité sur Internet. Ils étaient de fervents adeptes du chiffrement des communications menées sous des pseudonymes, ils enregistraient les domaines sous de fausses données ou ils utilisaient des services d’enregistrement anonymes, etc. Bref, ce ne fut pas comme s’il nous avait suffit de relever les noms et prénoms dans Whois et de rechercher les utilisateurs sur VKontakte ou Facebook comme cela avait été le cas avec des groupes de cybercriminels moins professionnels comme Koobface par exemple. Le groupe Lurk ne commettait pas de telles erreurs grossières. Et pourtant, ils ont commis des erreurs, insignifiantes à première vue et rares.

Afin de ne pas faciliter la tâche des individus malintentionnés, je m’abstiendrai de fournir des exemples de ces erreurs. Le point important est que l’analyse de ces erreurs nous a permis de dresser un tableau plus ou moins clair : nous étions en présence d’un groupe composé de 15 individus environ (au cours de la dernière étape de son activité, le nombre de collaborateurs « permanents » s’était élevé à 40). Cette équipe se chargeait du cycle complet, depuis le développement et la rentabilisation des malwares en passant par leur livraison. On aurait dit une petite société spécialisée dans l’édition de logiciels. La « société » à cette époque possédait deux « produits » clés : le malware Lurk et un réseau de zombies reprenant les ordinateurs infectés par ce malware. Il existait une équipe de développeurs chargés d’introduire de nouvelles fonctions dans le malware, de rechercher des « interactions » avec les systèmes de banque électroniques, de garantir la stabilité du fonctionnement et de réaliser bien d’autres tâches. Il y avait également une équipe de testeurs qui vérifiait le fonctionnement du malware dans différents environnements. Le réseau de zombies possédait également une équipe dédiée (administrateur, opérateurs, encaisseurs et autres collaborateurs qui travaillaient avec les bots via un panneau d’administration) qui se chargeait du fonctionnement des serveurs d’administration et de leur protection contre les tentatives de détection et d’interception des canaux d’administration.

Un malware de cette catégorie ne pouvant être développé que par des professionnels, les chefs du groupe les ont ainsi recrutés sur les sites traditionnels de recrutement. J’ai déjà fourni des exemples de telles annonces dans mon article consacré à la cybercriminalité financière russe. L’offre d’emploi n’évoquait pas le caractère illégal de l’activité. Lors de l’entretien, l' »employeur » vérifiait le compas moral des candidats : il leur expliquait en quoi le travail allait constituer exactement. Celui qui « réussissait » ce test, à savoir celui qui acceptait le travail en sachant que tout n’était pas net, était engagé dans l’équipe.

Sur la piste de Lurk

Un individu malintentionné a publié une annonce de recrutement d’un expert en java/flash sur un célèbre site ukrainien de recrutement pour spécialistes en technologie de l’information. Parmi les exigences avancées, une bonne maîtrise de la programmation en Flash, Java et une connaissance des spécifications JVM/AVM, etc. Le recruteur offre 2 500 dollars pour un télétravail à temps plein.

C’est ainsi que chaque matin, sauf les week-ends, dans différentes régions de Russie et d’Ukraine, des personnes s’asseyaient devant leur ordinateur pour « travailler ». Les développeurs mettaient en œuvre les fonctions de la nouvelle version du malware tandis que les testeurs vérifiaient la qualité de la nouvelle version. Ensuite, les individus responsables du réseau de zombies et du fonctionnement des modules et des composants du malware téléchargeaient les nouvelles versions sur le serveur de commande. Puis le malware était mis à jour automatiquement sur les ordinateurs du réseaux de zombies. Le malware analysait les informations envoyées par les ordinateurs à nouveau infectés afin de voir lesquels avaient accès à un système de banque électronique, d’obtenir le solde disponible sur les comptes, etc.

L’encaisseur, à savoir l’individu chargé de verser l’argent volé sur les comptes des mules se contentait de cliquer sur un bouton dans le panneau d’administration du réseau de zombies et des centaines de milliers de roubles étaient envoyés vers des comptes mis en places auparavant par les responsables des mules. Dans de nombreux cas, il ne fallait rien faire : le malware substituait les données du virement préparé par le comptable et l’argent était envoyé sur le compte des cybercriminels.

L’argent était ensuite transféré depuis ces comptes vers les cartes des mules qui retiraient l’argent liquide dans des distributeurs automatiques de billets. L’argent pouvait alors être acheminé via les groupes de mules les plus anciens jusqu’au responsable de l’organisation qui se chargeait de la répartition : « salaires » des collaborateurs, paiement de la part des complices, maintenance de l’infrastructure réseau et, bien entendu, son revenu personnel. Le cycle s’est répété à de nombreuses reprises.

Sur la piste de Lurk

Chaque membre du groupe criminel possède des responsabilités définies.

On peut parler ici de l’Age d’or de Lurk car en raison des failles dans la protection des transactions réalisées via les systèmes de banque électronique, le vol d’argent via l’ordinateur infecté d’un comptable dans l’entreprise attaquée ne requérait aucune aptitude particulière et dans la majeure partie des cas, tout était automatisé. Mais même les meilleures choses ont une fin.

Fin du « remplissage automatique » et début des temps difficiles

Bien entendu, les banques et les sociétés spécialisées en sécurité de l’information ne sont pas restées là à ne rien faire. L’avalanche de vols réalisés par Lurk et d’autres groupes allait pousser les services de sécurité des banques et les éditeurs de logiciels bancaires à réagir.

Pour commencer, les éditeurs de logiciels pour système de banque électronique ont suspendu la libre circulation de leurs produits. Avant l’émergence des bandes de cybercriminels financiers, n’importe quel utilisateur pouvait télécharger des versions de démonstration depuis les sites des éditeurs. Les individus malintentionnés avaient profité de cette opportunité pour étudier les mécanismes de fonctionnement des applications bancaires et créer des malwares qui s’en inspiraient.

Le deuxième grand changement fut l’adoption par les banques de technologies qui allaient permettre de lutter contre ce qu’on appelait le « remplissage automatique », à savoir la procédure qui permettait aux individus malintentionnés d’utiliser un malware pour modifier les données d’un virement créé par un comptable et de voler automatiquement l’argent. Enfin, la majorité des éditeurs de logiciels pour système de banque électronique a considérablement amélioré la sécurité des logiciels suite à une guerre invisible de plusieurs mois contre les cybercriminels.

Vers la fin 2013 et au début 2014, nous avions déjà bien analysé l’activité du malware du groupe et nos connaissances à son sujet étaient importantes. Nous avions enfin été en mesure de lancer sur notre ferme de bots un script du malware, ce qui nous permettait de découvrir à temps les nouveautés introduites par les individus malintentionnés dans les nouvelles versions du malware. Notre équipe d’analyse franchit également de grands pas dans l’étude du malware. A cette époque, nous comprenions déjà mieux comment il fonctionnait, nous avions identifié ses composants et nous connaissions les modules complémentaires dont il disposait dans son arsenal.

Ces informations étaient généralement obtenues lors de l’analyse d’incidents survenus suite à des attaques de Lurk. Parallèlement à cela, nous assistions les autorités judiciaires et policières qui avaient commencé à enquêter sur les activités de cette bande.

Les cybercriminels ont tenté de résister aux modifications survenues dans le secteur bancaire et de la sécurité de l’information. Ainsi, après que les éditeurs d’applications bancaires ont supprimé l’accès du public aux versions de démonstrations de leurs produits, les groupes criminels se sont mis à enregistrer de fausses sociétés dans le but d’obtenir les versions mises à jour des applications pour systèmes de banque électronique.

Les vols devinrent moins importants. Les améliorations au niveau de la sécurité des applications bancaires commençaient à prouver leurs effets. Le « remplissage automatique » fonctionnait de moins en moins souvent : le nombre de banques qui utilisaient des systèmes qui n’étaient pas assez protégés avait sensiblement diminué. Sur la base des informations que nous possédons, nous pouvons dire qu’en 2014, l’activité de l’entreprise criminelle « Lurk » a connu un sérieux coup de frein et a traversé une période de vache maigre au cours de laquelle elle n’a pas hésité à attaquer toutes les cibles possibles, y compris de simples utilisateurs. Même les attaques dont le butin n’allait pas dépasser quelques dizaines de milliers de roubles étaient bonnes à prendre.

Nous pensons que ce comportement avait une motivation économique : à ce stade de son développement, l’organisation utilisait une infrastructure réseau chère et aux nombreuses ramifications. Outre le salaire des « employés », il fallait payer la location des serveurs, du service VPN et d’autres aspects techniques. D’après nos calculs, les responsables du groupe « Lurk » devaient dépenser chaque mois des dizaines de milliers de dollars rien que pour l’infrastructure réseau.

Tentatives de retour

Afin de résoudre ce manque d’argent, les criminels ont tenté, en plus de l’augmentation du nombre d’attaques contre des cibles « faciles », de « diversifier » leur activité et d’élargir leur champ d’action. Par « diversification », nous entendons avant tout le développement, l’assistance et la location à d’autres groupes de criminels du kit d’exploitation Angler (connu également sous le nom XXX). Au départ, ce kit d’exploitation avait été utilisé par le groupe principalement pour diffuser le malware Lurk sur les ordinateurs des victimes. Vu la baisse du taux de réussite des attaques, les propriétaires de cet outil malveillant ont décidé de le mettre à la disposition de groupes moins importants en échange d’un paiement.

D’après ce que nous avons pu voir sur les forums clandestins où les cybercriminels communiquent, Lurk jouissait d’un statut presque légendaire. Principalement, en raison de sa nature hermétique : de nombreux groupes moyens ou modestes avaient manifesté leur souhait de « travailler » avec eux, mais Lurk avait toujours préféré travailler sans associés. C’est en partie à cause de cela que le kit d’exploitation Angler a remporté un tel succès lorsque Lurk prit la décision de permettre à d’autres acteurs du milieu cybercriminel de l’utiliser. Le produit des maîtres absolus du cyberunderground n’avait pas besoin de publicité. De plus, le kit d’exploitation était vraiment très rentable (pourcentage élevé d’exploitations de vulnérabilités) et il devint très vite après son apparition en 2013 un des instruments clés proposés sur le marché criminal2criminal.

Avant d’élargir ses activités, Lurk avait décidé de s’en prendre aux clients de grandes banques russes et aux banques elles-mêmes alors que jusqu’à présent il avait choisi des cibles plus modestes.

Au cours du 2e semestre 2014, nous avons repéré sur les forums clandestins des pseudos d’utilisateurs que nous connaissions déjà et qui sollicitaient l’aide d’experts dans la confection de faux documents. Quelques mois plus tard, en 2015, plusieurs villes russes allaient être touchées par une vague d’incidents au cours desquels des individus malintentionnés, dotés de fausses attestations, avaient réussi à obtenir des duplicatas de carte SIM à l’insu des propriétaires de plein droit.

Cette démarche était nécessaire pour obtenir les mots de passe à usage unique que la banque envoie à ses clients dans le but de confirmer les transactions financières dans les systèmes de banque électronique. Les individus malintentionnés avaient tiré avantage du fait que dans les régions reculées, les employés des opérateurs de téléphonie mobile ne vérifiaient pas toujours comme il fallait l’authenticité des documents présentés et délivraient ainsi une nouvelle carte SIM à la demande des criminels. Le groupe Lurk infectait l’ordinateur de la victime, récupérait les données personnelles de celle-ci et avec l’aide de « partenaires » recrutés sur les forums, ils faussaient les attestations et se rendaient chez l’opérateur de téléphonie.

Une fois en possession de la nouvelle carte SIM, il vidait le compte de la victime, puis s’évanouissait dans la nature.

Cette nouvelle méthode allait bien fonctionner au début mais il faut savoir qu’à la même époque, de nombreuses banques avaient commencé à mettre en œuvre des mécanismes de protection qui étaient à l’affût des changements du numéro unique de carte SIM et très vite après le début de cette « nouvelle » vague de vols, la technique allait perdre en efficacité. De plus, cette campagne impliquant les cartes SIM avait forcé certains membres des groupes et leurs partenaires à quitter le monde virtuel, ce qui allait simplifier la tâche des autorités judiciaires et policières chargées de trouver et d’identifier les suspects.

Dans ce contexte de « diversification de l’activité » et de recherche de nouvelles failles dans la protection des entreprises financières, Lurk continuait à organiser des attaques relativement modestes à l’aide de la technique éprouvée du « remplissage automatique » chaque fois qu’une victime appropriée se présentait. Toutefois, les criminels avaient bien l’intention de gagner la majeure partie de leur argent via un autre moyen.

Nouveaux « experts »

En février 2015, l’équipe du GReAT de Kaspersky Lab publiait une enquête sur la campagne malveillante Carbanak spécialisée dans le vol d’argent auprès d’institutions financières. La différence clé entre Carbanak et les cybercriminels financiers « classiques » était la présence chez Carbanak de spécialistes qui jouissaient d’une connaissance approfondie de l’infrastructure informatique des banques ciblées et qui connaissaient les horaires de la banque ainsi que l’identité des employés qui avaient accès à l’application utilisée pour réaliser les transactions. Avant de lancer l’attaque, le groupe Carbanak étudiait attentivement la cible choisie, identifiait tous les points faibles et profitait de l’heure de pointe pour réaliser les vols en quelques heures seulement. Il se fait que Carbanak n’était pas le seul groupe à agir de cette manière. Des spécialistes de ce genre avaient intégré l’équipe de Lurk en 2015.

Sur la piste de Lurk

Nous nous en sommes rendu compte à la suite d’incidents où le premier responsable qui venait à l’esprit était Carbanak alors qu’aucun des outils malveillants utilisés normalement par ce groupe n’avait été détecté. Mais il y avait Lurk. Le malware Lurk n’était plus utilisé dans ces cas comme un outil développé pour voler l’argent, mais bien comme une sorte « d’entrée de service » dans l’infrastructure de l’organisation attaquée. S’il est vrai que les fonctions qui avaient permis à Lurk de voler des millions de roubles presqu’automatiquement n’étaient plus performantes, Lurk était toujours très dangereux en raison de sa discrétion et de son développement professionnel.

Ceci étant dit, les jours de Lurk étaient comptés et ce, même en dépit des tentatives de maîtriser de nouveaux types d’attaque. Les vols se sont poursuivis jusqu’au printemps 2016 et les criminels, soit par une confiance inébranlable dans leur propre impunité, soit par apathie, se préoccupaient de moins en moins de l’anonymat de leurs actions. Et plus particulièrement dans la partie où il fallait encaisser l’argent : pour la dernière étape de ses opérations, le groupe utilisait une sélection restreinte de sociétés écrans sur le compte desquelles l’argent était envoyé. C’est du moins ce qui ressort de l’analyse des détails des incidents dans lesquels nous avons été impliqués en tant qu’experts techniques. Il se peut qu’une multitude de comptes n’avait pas de sens à ce moment : c’est ainsi que nous, les experts techniques et les autorités judiciaires et policières avons pu accumuler assez d’informations pour procéder à des arrestations. Que s’est-il passé au début du mois de juin de cette année ?

Sur Internet, personne ne sait que tu es un cybercriminel ?

Après mon travail sur le dossier Lurk, je suis convaincu que les membres de ce groupe croyaient fermement qu’ils ne seraient jamais pris. Et ils avaient des raisons de penser ainsi : ils étaient très minutieux dans leur démarche d’élimination des traces de leur activité illégale et dans l’ensemble, ils essayaient d’aborder toutes les tâches de manière particulière. Mais, comme toute personne, ils ont commis des fautes. Ces fautes se sont accumulées au fil des années et elles ont permis de mettre un terme à l’activité du groupe. En d’autres termes, s’il est vrai qu’il est bien plus facile de masquer les indices sur Internet, certaines traces restent et au fil du temps, une équipe professionnelle d’enquêteurs trouvera le moyen de les interpréter et de remonter jusqu’aux coupables.

Lurk n’est ni le premier, ni le dernier cas qui confirme cette idée. Il suffit de voir par exemple le trojan bancaire SpyeEye. Il est intervenu dans des vols de 2009 à 2011 environ tandis que son auteur présumé a été arrêté en 2013 et jugé en 2014.

Les premières attaques réalisées à l’aide du trojan bancaire Carberp ont débuté aux alentours de 2010 et les membres du groupe soupçonnés d’avoir créé et diffusé ce trojan ont été arrêtés uniquement en 2012 et jugés en 2014. Et ainsi de suite.

Chacun de ces cybercriminels semblent traverser une étape où il pense qu’il est invincible et que la police ne peut rien contre lui. Nos résultats semblent prouver le contraire.

Malheureusement, Lurk n’est pas le dernier groupe de cybercriminels qui attaque des entreprises pour gagner de l’argent. Nous connaissons plusieurs autres groupes similaires qui visent des entreprises en Russie et à l’étranger. C’est pour cela que nous formulons les recommandations suivantes pour chaque entreprise :

  • Si votre entreprise est attaquée par des pirates, déposez plainte à la police et sollicitez immédiatement l’aide d’experts en criminalité numérique. Plus la plainte est déposée tôt, plus le nombre d’indices que les experts pourront récolter sera élevé, ce qui signifie que les autorités judiciaires et policières disposeront d’informations utiles pour arrêter les criminels.
  • Mettez en place des stratégies de sécurité de l’information stricte pour les terminaux qui interviennent dans la réalisation des transactions financières et pour les employés qui les utilisent.
  • Formez tous les employés qui ont accès au réseau de l’entreprise aux règles de sécurité sur Internet.

Si vous respectez ces règles, vous n’allez pas éliminer complètement le risque d’attaques financières, mais vous compliquerez la tâche des individus malintentionnés et vous augmenterez sensiblement la probabilité qu’ils commettent des erreurs. Et ce faisant, vous faciliterez le travail des autorités judiciaires et policières ainsi que celui des experts en sécurité de l’information.

Post-scriptum Pourquoi a-t-il fallu tant de temps ?

On accuse souvent les autorités judiciaires et policières et les experts en sécurité de l’information de ne rien faire. Les pirates restent en liberté et restent impunis et ce, malgré les énormes dommages encourus par les victimes.

L’histoire de Lurk prouve le contraire. Elle donne également une idée du volume de travail à abattre avant d’obtenir un fondement légal pour lancer les poursuites contre les suspects. Le problème est lié au fait que les règles du « jeu » ne sont pas les mêmes pour tout le monde : le groupe Lurk avait mis en place une entreprise criminelle professionnelle, mais pour des raisons évidentes, il ne se souciait pas de respecter la loi. De notre côté, dans le cadre de notre coopération avec les autorités judiciaires et policières, nous sommes obligés de respecter la loi. Ce processus est lent, principalement à cause de la « paperasserie » et des restrictions que la législation impose sur les types d’informations que nous utilisons, en tant qu’entité commerciale.

Nous pouvons définir notre coopération avec les autorités judiciaires et policières dans le cadre de l’enquête sur les activités de ce groupe comme un échange de données en plusieurs étapes. Nous présentions les résultats intermédiaires de nos travaux aux enquêteurs et ceux-ci les étudiaient afin de voir s’il existait un lien entre les résultats de nos travaux et les résultats de leur enquête. Ils nous renvoyaient ensuite nos données, enrichies de leurs informations. Il faut préciser qu’ils nous transmettaient uniquement les informations auxquelles nous pouvions avoir accès aux termes de la loi. Ce processus s’est déroulé à plusieurs reprises jusqu’à ce que nous ayons obtenu la vue d’ensemble des activités de Lurk. Mais cela n’indiquait pas la fin de l’histoire.

Une partie importante de notre travail avec les autorités judiciaires et policières consistait à « traduire » les renseignements que nous avions obtenus du langage « technique » en langage « juridique » afin que les résultats de nos travaux puissent être décrits en des termes juridiques que les juges comprendraient. Il s’agit d’un processus lent et ardu, mais c’est la seule manière de pouvoir traduire en justice les auteurs de cybercrimes de ce genre.

Posts similaires

Il y a 1 commentaire
  1. Ray2.0

    très instructif même si je ne connais pas une seule ligne de code c’est toujours intéressant de lire des articles comme le vôtre. Et je suis toujours autant halluciné de voir l’ingéniosité des cyber criminels capables de grandes audaces. Je me pose une question cependant. Est-ce que ces cyber criminels leurs arrivent-ils d’être approchés par des organisations d’Etat, des agences d’espionnages, des autorités policières d’un pays ou d’une autre, d’une entreprise bancaire ou autres, etc afin de travailler pour eux ? Il me semble que j’ai lu un article un jour sur ce sujet où des hackers très qualifiés avaient été approché par le FBI ou la CIA ou encore des banques pour être embauché et ces mêmes hackers qui volaient des organismes financiers, des Etats pour certains se mirent à travailler pour ces organismes.
    Donc est-ce que ça arrive réellement ou est-ce un mythe ?
    Dans le cas où ça arrive réellement quels sont les cas similaires depuis ces dernières années ?
    Dernière question, si ces hackers cyber criminels sont effectivement approchés par des organismes d’Etat ou d’entreprises, sont-ils recrutés en échange d’une réduction de peine ou pour éviter la prison par exemple ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *