L’évolution du botnet Citadel est suivie depuis plusieurs mois par différents chercheurs. Il montre une tendance intéressante (si l’on peut dire) dans la pratique des groupes criminels numériques: une véritable gestion de la clientèle et l’utilisation des modèles modernes de développement d’applications en source ouverte. Cet exemple montre des développements importants dans le domaine du CaaS – crime as a service, ou le crime vendu comme un service.
Historique
En mai 2011, le code source du malware Zeus est révélé. Dans la foulée, des variantes sont développées dont IceIX et aujourd’hui Citadel.
Les services offerts par la citadelle
Une fois la licence de Citadel acquise (le prix public serait de $2.399 plus un abonnement de $125 mensuels), le ‘client’ est invité à rejoindre la communauté en ligne des acheteurs de Citadel: le « Citadel Store » (voir l’article de Brian Krebs). Ils ont ainsi accès :
- à la possibilité de voter pour de nouvelles fonctionnalités et en discuter le détail ;
- la progression des développements (dates de sortie des nouveaux modules) ;
- au signalement des bugs au travers d’un classique système de gestion de tickets ;
- à une documentation complète pour l’utilisateur, des notes de version et un document de licence (sic !).
Vous pouvez lire sur le Wiki Botnets une traduction en anglais (par @sherb1n) d’un message publicitaire du groupe qui anime Citadel sur un forum destiné à des acheteurs potentiels.
Très clairement, il s’agit de fidéliser la clientèle et donc de développer ses revenus (ils demandent même des avances aux clients qui souhaitent voir un développement particulier arriver plus rapidement), mais aussi de profiter des informations que les clients obtiennent pour améliorer le produit et le rendre plus efficace. Ils vont ainsi beaucoup plus loin que les contacts via ICQ ou Jabber classiquement utilisés par les développeurs de logiciels malveillants (voir l’article de Brian Krebs).
Le groupe qui se cache derrière le Citadel Store se comporte comme n’importe quelle entreprise. Ainsi, ils ont des horaires de bureau (de 10h00 à 00h30 tout de même, donc très geeks) et se reposent le week-end. Au mois de mars 2011, Seculert rapportait déjà (voir leur blog) l’importance des services de type commercial développé par les criminels dans le domaine des plateformes d’exploits (il s’agit de plateformes telles Blackhole ou Incognito qui regroupent en un seul outil intégré un ensemble d’outils permettant de contaminer une grande variété de machines victimes visitant par exemple un site Web).
J’avais déjà eu l’occasion de souligner le développement des groupes criminels comme de véritables entreprises:
- Service d’assistance téléphonique pour les fraudeurs du net
- Ne soyez pas des ânes, où j’évoquais le fonctionnement du recrutement des mules par de fausses entreprises (comme dans cette affaire précédente où trois français étaient interpellés dans le sud-est de la France)
- Koobface, un écosystème cybercriminel ou le conte des Mille et une nuits ?, ou je rapportais qu’un groupe organisé nommé Ali Baba s’en prenait à Dancho Danchev
- Dans le Panorama cybercriminalité du Clusif 2009, François Paget avait mis au jour l’existence d’une entreprise ukrainienne dont les activités consistent en réalité à vendre de faux antivirus et gérer les relations avec les clients manifestement mécontents…
Les fonctionnalités offertes par Citadel
Selon Seculert (voir sur leur blog), une nouvelle version de Citadel est publiée chaque semaine, soit un rythme beaucoup plus soutenu que ce qu’on a pu remarquer pour Zeus ou SpyEye.
A ce jour, le botnet Citadel offrirait les fonctionnalités suivantes (voir notamment l’article de Seculert):
- toutes les fonctionnalités connues de Zeus, mais avec des améliorations comme la collecte d’identifiants de connexion sur le navigateur Chrome de Google ;
- chiffrement RC4 et AES pour les communications ;
- contre-mesures pour les plateformes de suivi des serveurs de commande des botnets (tel Zeus Tracker), grâce à l’utilisation de clés qui seules permettent de télécharger des mises à jour ou des fichiers de configuration ;
- blocage de l’accès par les machines infectées aux serveurs de mise à jour des anti-virus ;
- enregistrement de vidéos (au format MKV) de l’activité de l’utilisateur visitant un site Web particulier ou utilisant une application (il s’agit d’une option du botnet) ;
- la mise à jour via le protocole Jabber de l’ensemble des bots pour éviter la détection par les antivirus (cette option serait facturée $395 et chaque mise à jour $15) ;
- plus classique, il est possible d’empêcher le bot de fonctionner sur les machines dont le clavier est configuré pour le russe ou l’ukrainien.
Pour prolonger…
Cet article est l’occasion d’attirer l’attention sur un projet lancé voici quelques semaines: https://www.botnets.fr/ un Wiki sur les botnets que j’anime dans le cadre de la thèse que j’ai commencée sur le sujet de la lutte contre les botnets. Si vous voulez participer à ce Wiki n’hésitez pas à nous rejoindre sur IRC chat.freenode.net #botnets.fr et à vous inscrire sur le Wiki.
L’article est très intéressant et montre bien la professionnalisation du crime numérique: un CRM pour les bandits du Net, il fallait quand même oser 🙂 Mais c’est vrai que là où les malwares d’il y a quelques années ne causaient souvent que des dégâts sur le PC infecté, ceux d’aujourd’hui ont vraiment une finalité pécuniaire plus poussée.
Un autre aspect que je trouve flagrant, par rapport au côté pro évoqué, c’est l’abandon en quelques années de l’intégration verticale, tout comme les industriels ont pu le faire dans les dernières décennies.
Je pense notamment à Liberty Reserve, un modèle du genre (après l’échec d’E-Gold, trop centralisé). Et comme par hasard, si j’en crois lien Wiki de l’article, on paye Citadel en « LR »… Ca me paraît être un élément essentiel, pourtant, le flou juridique permet à tout cet écosystème de perdurer, financièrement parlant. Quelles seraient les solutions envisageables?
2 papiers très instructifs sur le sujet:
XMCO:
http://www.xmco.fr/whitepapers/XMCO-LesNouveauxCircuitsFinanciersClandestins-Sept2011.pdf
L’équipe Secu-Insight du CEIS:
http://www.secuinsight.fr/livre-blanc-blackmarkets/
P.S. : 2 petites questions annexes:
Comme écrit dans l’article et dans le wiki sur les botnets que je cite:
Our software does not work on Russian-language systems. If a Russian or Ukrainian layout is detected, the bot terminates. This is done to prevent installs on CIS systems. You may disagree, but that’s taboo for us.
D’après vous:
1. Est-ce que CIS = Commonwealth of Independent States ?
2. Si oui, est-ce qu’il y a une raison en particulier?
Bonsoir,
Je suppose qu’il s’agit avant tout d’éviter d’être inquiété trop rapidement par la police locale, voire de rendre leur action difficile sur le plan juridique. Mais c’est une hypothèse qui demande à être vérifiée.