Zeus

La citadelle du crime

L’évolution du botnet Citadel est suivie depuis plusieurs mois par différents chercheurs. Il montre une tendance intéressante (si l’on peut dire) dans la pratique des groupes criminels numériques: une véritable gestion de la clientèle et l’utilisation des modèles modernes de développement d’applications en source ouverte. Cet exemple montre des développements importants dans le domaine du CaaS – crime as a service, ou le crime vendu comme un service.

Historique

En mai 2011, le code source du malware Zeus est révélé. Dans la foulée, des variantes sont développées dont IceIX et aujourd’hui Citadel.

Panneau de commande du botnet Citadel v.1.2.4 (source: Seculert)

Les services offerts par la citadelle

Une fois la licence de Citadel acquise (le prix public serait de $2.399 plus un abonnement de $125 mensuels), le ‘client’ est invité à rejoindre la communauté en ligne des acheteurs de Citadel: le « Citadel Store » (voir l’article de Brian Krebs). Ils ont ainsi accès :

  • à la possibilité de voter pour de nouvelles fonctionnalités et en discuter le détail ;
  • la progression des développements (dates de sortie des nouveaux modules) ;
  • au signalement des bugs au travers d’un classique système de gestion de tickets ;
  • à une documentation complète pour l’utilisateur, des notes de version et un document de licence (sic !).

Vous pouvez lire sur le Wiki Botnets une traduction en anglais (par @sherb1n) d’un message publicitaire du groupe qui anime Citadel sur un forum destiné à des acheteurs potentiels.

Très clairement, il s’agit de fidéliser la clientèle et donc de développer ses revenus (ils demandent même des avances aux clients qui souhaitent voir un développement particulier arriver plus rapidement), mais aussi de profiter des informations que les clients obtiennent pour améliorer le produit et le rendre plus efficace. Ils vont ainsi beaucoup plus loin que les contacts via ICQ ou Jabber classiquement utilisés par les développeurs de logiciels malveillants (voir l’article de Brian Krebs).

Le groupe qui se cache derrière le Citadel Store se comporte comme n’importe quelle entreprise. Ainsi, ils ont des horaires de bureau (de 10h00 à 00h30 tout de même, donc très geeks) et se reposent le week-end. Au mois de mars 2011, Seculert rapportait déjà (voir leur blog) l’importance des services de type commercial développé par les criminels dans le domaine des plateformes d’exploits (il s’agit de plateformes telles Blackhole ou Incognito qui regroupent en un seul outil intégré un ensemble d’outils permettant de contaminer une grande variété de machines victimes visitant par exemple un site Web).

J’avais déjà eu l’occasion de souligner le développement des groupes criminels comme de véritables entreprises:

Les fonctionnalités offertes par Citadel

Selon Seculert (voir sur leur blog), une nouvelle version de Citadel est publiée chaque semaine, soit un rythme beaucoup plus soutenu que ce qu’on a pu remarquer pour Zeus ou SpyEye.

A ce jour, le botnet Citadel offrirait les fonctionnalités suivantes (voir notamment l’article de Seculert):

  • toutes les fonctionnalités connues de Zeus, mais avec des améliorations comme la collecte d’identifiants de connexion sur le navigateur Chrome de Google ;
  • chiffrement RC4 et AES pour les communications ;
  • contre-mesures pour les plateformes de suivi des serveurs de commande des botnets (tel Zeus Tracker), grâce à l’utilisation de clés qui seules permettent de télécharger des mises à jour ou des fichiers de configuration ;
  • blocage de l’accès par les machines infectées aux serveurs de mise à jour des anti-virus ;
  • enregistrement de vidéos (au format MKV) de l’activité de l’utilisateur visitant un site Web particulier ou utilisant une application (il s’agit d’une option du botnet) ;
  • la mise à jour via le protocole Jabber de l’ensemble des bots pour éviter la détection par les antivirus (cette option serait facturée $395 et chaque mise à jour $15) ;
  • plus classique, il est possible d’empêcher le bot de fonctionner sur les machines dont le clavier est configuré pour le russe ou l’ukrainien.

Interface de création du bot - logiciel malveillant (Source: Brian Krebs)

Pour prolonger…

Cet article est l’occasion d’attirer l’attention sur un projet lancé voici quelques semaines: https://www.botnets.fr/ un Wiki sur les botnets que j’anime dans le cadre de la thèse que j’ai commencée sur le sujet de la lutte contre les botnets. Si vous voulez participer à ce Wiki n’hésitez pas à nous rejoindre sur IRC chat.freenode.net .fr et à vous inscrire sur le Wiki.

Rapport semestriel de l’APWG 2S2009 – le groupe Avalanche

L’Anti-phishing working group (APWG) a publié le 10 mai 2010 son rapport portant sur le second semestre de l’année 2009 des activités de détection et de lutte contre le phishing. Le groupe surnommé Avalanche aurait été derrière 2/3 des attaques de phishing sur cette période, avant de pratiquement disparaître.

Résumé (page 3 du rapport) des informations principales de ce rapport :

  • Le groupe surnommé « Avalanche » aurait été responsable de 2/3 des opérations de phishing au cours du second semestre 2009 ;
  • Les actions menées contre Avalanche ont fait baisser la moyenne de la durée de vie des sites de phishing par rapport au premier trimestre, mais cela cache de plus mauvais résultats contre les activités extérieures à Avalanche ;
  • Le nombre d’adresses IP ou de noms de domaine utilisés pour le phishing est resté stable au cours des 2,5 années passées, alors que le nombre de noms de domaines enregistrés a progressé ;
  • 5 TLD concentrent l’essentiel des actions de phishing (.be, .com, .eu, .net et .uk) ;
  • Les noms de domaine internationaux (utilisant des caractères d’autres alphabets) ne sont pas encore exploités significativement par les phishers ;
  • Les phishers continuent d’utiliser massivement les services des sous-domaines (possibilité d’ouvrir gratuitement ou non des noms de domaines subalternes, comme chez t35(.)com qui a été le plus utilisé au cours de cette période).

Résumé des statistiques relevées par l’APWG :

  • 126.697 attaques de phishing, soit plus du double par rapport au premier semestre 2009 ;
  • 28.775 noms de domaines distincts ont hébergé ces attaques, soit une valeur en baisse constante par rapport aux périodes précédentes ;
  • 66% des domaines enregistrées de façon frauduleuse pour commettre ces attaques (4.141 sur 6.372) l’auraient été par le groupe Avalanche.

Avalanche

Avalanche est un groupe spécialisé dans les campagnes de phishing qui gère une véritable infrastructure. Ils seraient ainsi responsable, selon l’APWG de 84.250 des 126.697 attaques de phishing relevées au cours du second semestre 2009, qui ont ciblé une quarantaine de marques au cours de cette période. La fin de l’année a vu une chute de son activité.

Les domaines gérés par Avalanche sont hébergés sur des botnets composés essentiellement d’ordinateurs individuels de particuliers. Cela rend les mesures de réaction complexes, parce qu’aucun hébergeur ou fournisseur de services Internet n’est capable d’agir directement sur les pages de phishing.

Le fonctionnement du bot utilisé par Avalanche est assez simple : il se compose de deux fichiers (et d’une clé de registre Windows), il écoute sur le port 80 réservé aux connexions Web et relaie la demande vers le serveur qui héberge réellement la page de phishing.

En outre, Avalanche a été utilisé pour diffuser une forme du logiciel malveillant Zeus, qui sert à collecter des données personnelles en espionnant la machine infectée.

Les campagnes de phishing d’Avalanche sont assez semblables au cours du temps, avec l’enregistrement de noms de domaines dédiés, l’utilisation de sous-domaines sur les domaines qui restent actifs suffisamment longtemps et l’émission de campagnes de spam. Malgré les réactions coordonnées des différents acteurs concernés (dont les bureaux d’enregistrement), Avalanche semble avoir été très profitable.

Dancho Danchev relève sur son blog qu’il existerait une relation forte entre les opérations du groupe Avalanche et l’opérateur Troyak AS qui aurait été déconnecté de l’Internet au mois de Mars (voir encore le blog de Dancho Danchev).

Il semble que les activités d’Avalanche aient nettement ralenti, mais comme de nombreux indices permettent d’entrevoir un lien avec les activités d’un précédent groupe de phishing, Rock Phish, on peut légitiment supposer que les criminels derrière Avalanche ne tarderont pas à relancer leurs activités sous une nouvelle forme.

Conclusion

Outre, la renaissance attendue d’Avalanche, les spécialistes de l’APWG prédisent une progression de l’usage des services de raccourcissement de liens (comme le fameux bit(.)ly).

Botnets à louer

BBC Click

BBC Click

Le 12 mars dernier, une affaire faisait le tour de l’actualité sur Internet : des journalistes de la BBC ont montré dans un reportage comment il était possible aujourd’hui de louer les services d’un botnet, ces réseaux de machines zombies qui permettent de commettre la plupart des malveillances sur Internet : diffusion de courriers électroniques non sollicités (spams), attaques en déni de service distribué, hébergement furtif de sites de phishing, etc.

Fonctionnement de principe des botnets

L’idée est de diffuser via Internet un ver, c’est-à-dire un virus qui se propage de proche en proche par ses propres moyens. Ce ver en contaminant un ordinateur en prend pratiquement le contrôle, se connecte à un serveur de commande piloté par le propriétaire du botnet, et la machine devient ce qu’on appelle une machine zombie. La particularité de ce type de virus c’est qu’il ne perturbe pas forcément de façon exagérée le fonctionnement de l’ordinateur qui l’héberge, mais a plutôt intérêt à ce qu’il soit connecté aussi souvent que possible sur Internet et en plein état de marche, pour pouvoir profiter de sa connectivité et de sa puissance de calcul.

C’est par le cumul des capacités de dizaines ou de centaines de milliers de tels zombies que les criminels constituent des botnets – réseaux de bots – qu’ils peuvent exploiter pour commettre leurs méfaits de façon distribuée. Le serveur de commande peut-être un serveur IRC (protocole permettant de dialoguer en temps réel au travers d’un réseau de serveurs interconnectés), un serveur Web ou tout autre protocole au travers duquel le diffuseur du virus pourra faire passer ses commandes et être sûr que toutes les machines contaminées et connectées le visitent régulièrement.

Le ver Conficker – qui est sensé faire l’actualité ce 1er avril (voir l’article que j’ai rédigé voilà quelques jours) – est conçu pour obtenir ses mises à jour et les commandes de son propriétaire de façon similaire, en se connectant sur des serveurs Web dont l’adresse est calculée par un algorithme évolutif.

L’affaire BBC

Ce que cherchaient à mettre en lumière les journalistes de l’émission Click de la BBC, c’était qu’il était possible de louer les services d’un botnet, pour quelques heures ou quelques jours. Le débat qui a germé sur Internet et dans l’actualité par la suite venait de la démonstration qu’avaient cherché à faire les journalistes : non seulement ont-ils loué un botnet de quelques 22.000 machines et donc utilisé à leur insu – et donc de façon illégale – les ordinateurs d’autant de victimes, mais aussi ont-ils testé les fonctionnalités de ce botnet, en envoyant des spams vers des adresses de courrier électronique leur appartenant et en attaquant de façon concertée un serveur Web – hébergé lui aussi de connivence avec les journalistes, heureusement ! On ne sait pas quels dégâts ils ont pu faire au passage…

Dans leurs explications, justifiant leurs actions, les journalistes se camouflaient derrière l’idée qu’ils n’ont pas utilisé le botnet avec des intentions malhonnêtes. Par exemple, ils n’ont pas collecté de données personnelles sur les ordinateurs zombies. Or, il est clair, qu’ils ont pénétré frauduleusement dans les ordinateurs de ces quelques 22.000 victimes, modifié leur comportement, fait transiter des données étrangères (les spams et les attaques), et l’intention frauduleuse est bien là. C’est comme si un délinquant essayait de s’exonérer d’avoir volé une voiture parce qu’il la rend avec quelques litres d’essence en moins seulement et qu’il s’en est seulement servi pour faire le tour de la ville…

Passons, leur démonstration reste inéressante, et il revient à la justice anglaise de décider ou non de l’opportunité de poursuites…

Mais après ?

Un blogueur de ZDnet attire notre attention sur quelques détails de ce reportage, qui se révèlent particulièrement intéressants. Dancho Danchev est un observateur attentif du développement de ces botnets en kit. Ainsi, pour lui, l’exemplaire montré dans le reportage est relativement récent. La plateforme « Chimera » serait commercialisée par un prestataire russe, qui est connu pour une autre série de botnets appelée « Zeus », qui a par exemple des modules optionnels permettant de faciliter le vol de numéros de cartes bancaires sur Internet – autrement appelé carding.

Il conclue ainsi son article :

Le plus inquiétant avec ce type de services de location de logiciels malicieux ou de botnets est leur effort manifeste sur la standardisation, avec pour conséquence une plus grande efficacité et une capacité à changer d’échelle très facilement. Par exemple, à un « consommateur » qui s’interrogeait – avant d’acheter les « services » – sur la capacité du logiciel de contrôle de botnet à contrôler plus de 50.000 hôtes contaminés, le marchand lui a répondu que le botnet le plus important qu’ils opéraient comportait 1,2 millions d’hôtes et fonctionnait parfaitement.

Il ne fait donc plus doute aujourd’hui que non seulement le crime organisé s’est emparé des nouveaux modes de délinquance numériques, mais il en optimise les performances et le rapport. Les botnets sont autant de phénomènes à surveiller, tout comme les hébergeurs malhonnêtes évoqués en novembre dernier. Pour une action plus efficace à leur encontre une action concertée des pouvoirs publics – notamment judiciaires et d’investigation – mais aussi des acteurs techniques de l’Internet est absolument nécessaire.