Un outil d’administration à distance (RAT) capable de donner un contrôle à distance complet de l'ordinateur d'une victime à toute personne ayant des intentions malveillantes a été démantelé dans le cadre d'une opération policière internationale, selon les annonces de la National Crime Agency (NCA) du Royaume-Uni et d’Europol.
Le cheval de Troie administré à distance (ou RAT), appelé Luminosity Link, était vendu sur un site Web dédié pour le faible coût de 30 £ (soit environ 34 Euros ou 53$ CAD). Les prétentions de l’application malveillante était d’offrir un trio de service : « surveillance, sécurité et administration ». Prétendument, un utilitaire d'administration système légitime, un outil de suivi des clients et, attendez, une solution anti-programmes malveillants.
La page d'accueil du site Luminosity Link, aujourd'hui disparu. Source de l’image : web.archive.org
L'insidieux RAT, une fois installé sans être détecté, donnait carte blanche aux cybercriminels quant à la machine de la victime. Il permettait de « désactiver les logiciels antivirus et anti-malware, exécuter des commandes telles que la surveillance et l’enregistrement de frappes, voler des données et des mots de passe et regarder les victimes via leurs webcams », selon la NCA. Évidemment, tout cela se produisait à l'insu de la victime.
L'enquête a montré que le RAT, dont le déploiement requérait peu de connaissances techniques pour être déployé, comptait plus de 8600 utilisateurs dans 78 pays. On croit que des milliers de victimes ont été touchées.
Les analyses judiciaires ont permis de trouver une gamme de preuves que des renseignements personnels, des mots de passe, des photographies privées, des séquences vidéo et des données ont été volées. Toutefois, la quantité de preuves devrait « augmenter considérablement à mesure que les dispositifs saisis sont examinés », a déclaré le NCA, qui a confisqué plus de 100 « pièces à conviction » au cours de l'opération britannique.
« Grâce à notre travail avec les forces et nos partenaires internationaux, la RAT n'est plus disponible à la vente et ne fonctionne plus », a déclaré l'enquêteur principal David Cox, de l'Unité nationale de lutte contre la cybercriminalité du RCA. »
Coordonnée par le NCA et soutenue par Europol, l'enquête a également impliqué des forces de l’ordre de 13 pays d'Europe, d'Australie et d'Amérique du Nord. L’opération de répression à proprement parlé a eu lieu au cours d'une « semaine d'action » en septembre 2017, les autorités britanniques et européennes travaillant ensemble pour cibler les acheteurs de la RAT. Ces enquêtes ont mené à un certain nombre de mandats de perquisition, d'arrestations et de notifications de cessez-le-feu en Europe, en Australie et aux États-Unis.
Citant des « raisons opérationnelles », les autorités n'ont divulgué que plus tôt cette semaine des informations sur les mesures de répression.
Luminosity Link a été initialement trouvé sur l'ordinateur d'un présumé délinquant dans la ville de Bristol, dans le sud-ouest de l'Angleterre. Ce dernier a été arrêté en Septembre 2016 sur des soupçons d'utilisation abusive de l'ordinateur dans le cadre d'une enquête indépendante, a déclaré la NCA.
« Grâce à des actions fortes et coordonnées au-delà des frontières nationales, les criminels du monde entier réalisent que commettre des crimes à distance ne protège pas contre les arrestations. Personne ne veut que les criminels volent leurs renseignements personnels ou des photos de leurs proches. Nous continuons d'exhorter tout le monde à veiller à ce que leurs systèmes d'exploitation et leurs logiciels de sécurité soient à jour, » a déclaré Steven Wilson, chef du Centre européen de lutte contre la cybercriminalité d'Europol.
