Le plus grand problème avec les cybercriminels est peut-être qu'ils sont si difficiles à attraper. Imaginez un vrai braquage de banque avec des armes et des masques - les voleurs laissent des empreintes digitales, leurs voix sont enregistrées par les caméras de surveillance ; la police peut suivre leurs véhicules à l'aide de caméras de circulation, etc. Tout cela aide l'enquête à attraper le suspect. Mais quand les cybercriminels commettent un vol, ils ne laissent... pratiquement rien derrière eux. Aucun indice.
Mais parfois, ils se font prendre. Vous vous souvenez du cheval de Troie bancaire SpyEye ? Ses développeurs ont été capturés en 2011. Vous souvenez-vous du groupe Carberp, qui a été actif de 2010 à 2012 ? Egalement capturé. Et qu'en est-il du tristement célèbre kit d'exploitation des pêcheurs à la ligne, qui a soudainement disparu du radar à la fin du mois de juin ? Le logiciel malveillant Lurk a arrêté ses attaques au même moment - depuis l'arrestation du groupe à l'origine de cette attaque - avec l'aide des autorités russes et de Kaspersky Lab.
Lurk : l'histoire d'une menace
L'histoire a commencé en 2011, lorsque nous avons découvert Lurk. Ce qui a attiré notre attention, c'est le fait qu'un cheval de Troie sans nom qui utilisait un logiciel de banque à distance pour voler de l'argent était classé par notre système interne de dénomination des logiciels malveillants comme un cheval de Troie qui pouvait faire beaucoup - mais pas voler de l'argent. Nous l'avons donc examiné de plus près.
Les enquêtes n'ont guère donné de résultats - le cheval de Troie semblait ne rien faire. Mais les attaques ont continué et nos analystes ont reçu de plus en plus d'exemples à analyser.
À cette époque, nous avons beaucoup appris sur Lurk. Par exemple, il avait une structure modulaire : si le cheval de Troie découvrait qu'il avait infecté un ordinateur avec un logiciel de banque à distance, il téléchargeait le logiciel malveillant utilisé pour voler l'argent. C'est pourquoi notre système de dénomination n'a pas immédiatement appelé Lurk un cheval de Troie bancaire - il lui manquait la charge utile.
Nous avons également constaté que Lurk a évité de laisser des traces sur le disque dur en ne fonctionnant que sur la mémoire vive de l'ordinateur infecté. Il était donc plus difficile de l'attraper. Les développeurs de Lurk ont également utilisé le cryptage comme couverture ici et là. Leurs serveurs de commande et de contrôle étaient hébergés dans des domaines qui étaient enregistrés avec des données d'enregistrement erronées. Et le logiciel - le corps de Lurk et les logiciels malveillants - changeait constamment et était spécifiquement adapté à chaque banque.
Des cybercriminels affutés
Les développeurs de Lurk ont été prudents, et nous savions qu'une équipe professionnelle devait être derrière ce malware complexe. Mais même les professionnels ne sont que des personnes, et les gens font des erreurs. Ces erreurs nous ont donné des informations que nous avons pu utiliser pour trouver les personnes derrière le Trojan.
Il s'est avéré que Lurk a été créé et maintenu par un groupe de 15 personnes, qui est passé à 40. Ils avaient deux projets : le malware lui-même et le botnet pour sa distribution. Chaque projet avait sa propre équipe.
Un groupe de programmeurs a développé Lurk, et un groupe de testeurs a vérifié son comportement dans différents environnements. Du côté du botnet, il y avait des administrateurs, des utilisateurs, un gestionnaire de flux d'argent, et d'autres. Les passeurs de fonds recevaient l'argent aux distributeurs automatiques, et un responsable des passeurs de fonds récupérait l'argent des passeurs.
La plupart des personnes concernées étaient essentiellement des travailleurs salariés. Afin de les embaucher, les développeurs de Lurk ont affiché des offres d'emploi sur les sites, proposant un emploi à distance à temps plein avec un salaire attractif. Au cours de l'entretien, le recruteur demandait aux candidats s'ils avaient des principes moraux solides. Ceux qui ne l'ont pas fait ont obtenu le poste.
Une infrastructure solide
Le développement de Lurk et la maintenance du réseau de zombies ont nécessité non seulement du personnel, mais aussi une infrastructure coûteuse, notamment des serveurs, des VPN et d'autres outils. Après quelques années d'activité, l'équipe de Lurk ressemblait à une entreprise informatique de taille moyenne. Et comme beaucoup d'entreprises, ils ont décidé au bout d'un certain temps de diversifier leurs activités.
Les cybercriminels derrière Lurk sont également responsables du développement de Angler, ou XXX, l'un des kits d'exploitation les plus complexes à ce jour. Au départ, il a été conçu comme un outil permettant de livrer Lurk à ses victimes, mais ses concepteurs ont décidé de le vendre également à des tiers. Son succès et son apparente invincibilité ont élevé le groupe derrière Lurk à un statut presque légendaire parmi les cybercriminels russes, ce qui a permis de vendre beaucoup de pêcheurs sur le marché noir.
Le pêcheur est devenu très célèbre parmi les cybercriminels. Il a été utilisé par exemple pour distribuer les logiciels de rançon CryptXXX et Teslacrypt.
Fin de la cavale !
Mais lorsque la vente des pêcheurs a commencé, les jours du groupe étaient déjà comptés. La police russe, avec l'aide de Kaspersky Lab, avait recueilli suffisamment de preuves pour arrêter les membres du groupe suspect. En juin 2016, l'activité de Lurk s'est arrêtée et peu après celle de Angler. Les cybercriminels ont pensé jusqu'au bout qu'ils ne seraient jamais pris en flagrant délit en raison des précautions qu'ils avaient prises.
Leurs précautions les protègent pendant un certain temps, mais même les cybercriminels intelligents restent humains. Tôt ou tard, ils trébucheront et feront des erreurs, puis une bonne équipe d'enquêteurs les trouvera. Cela demande généralement un travail long et difficile, mais c'est ainsi que nous rendons justice au monde cybernétique.