L'objectif principal de l'analyse des logiciels malveillants est de déterminer le fonctionnement d'un logiciel malveillant donné, d'extraire les indicateurs de compromission (IoCs) et de déterminer les contre-mesures potentielles. C’est un travail de nature purement technique, ou presque : l’expert se concentre sur les fichiers binaires et leurs propriétés. Les résultats d'analyse des logiciels malveillants sont cruciaux pour les organisations afin de leur permettre de se défendre contre la flambée d’un logiciel malveillant ou de remédier à une infiltration en direct. Elles sont également essentielles pour les fournisseurs de logiciels de sécurité, puisqu’elles leur permettent de créer de meilleures détections et mesures de protection pour leurs clients.
Cependant, des réponses à d’autres types de questions peuvent parfois s’avérer nécessaire. Par exemple : Ce fichier est-il lié à celui-ci? Comment est construite l'infrastructure C&C (Command & Control) et comment fonctionne le protocole de communication? Comment le botnet monétise-t-il ses activités : paiement à l'installation, courrier indésirable, redirection de trafic?
Obtenir les réponses à ces questions relève de la recherche sur les logiciels malveillants. Il permet de mieux découvrir tout ce qui peut se cacher derrière un seul échantillon de logiciels malveillants, de relier les points et de comprendre la situation dans son ensemble.
Bien sûr, cette tâche sert également les logiciels de sécurité, puisque ces réponses leur permettent de concevoir de meilleures protections. Mais les informations issues de la recherche sur les logiciels malveillants peuvent également être utiles aux services répressifs dans la lutte contre la cybercriminalité. Voici quelques exemples de travaux d’ESET qui ont contribué à perturber les opérations des malveillantes.
Campagne de perturbation contre Dorkbot
En 2015, ESET a été invité à se joindre à la campagne d'éradication coordonnée des logiciels malveillants (CME) de Microsoft contre la famille de logiciels malveillants Win32/Dorkbot. Dorkbot était un kit, en vente sur certains forums souterrains, qui a infecté plus d'un million de PC en utilisant plusieurs botnets indépendants. L'objectif de cette campagne de CME était de perturber massivement le plus grand nombre possible de ces botnets, en démantelant simultanément les infrastructures de C&C correspondantes.
A l'appui de cette opération, les chercheurs d'ESET ont automatisé le processus d'extraction des informations C&C des binaires Dorkbot. Nous avons appliqué ce processus à notre flux d'échantillons de Dorkbot, tant anciens que nouveaux. Nous avons ensuite désinfecté manuellement les résultats en supprimant les puits connus et en nettoyant les domaines et adresses IP afin d'atténuer le risque de détruire les ressources légitimes. Microsoft a fusionné ces informations avec leurs propres données pour créer une liste exhaustive de tous les nœuds C&C actifs à cibler. Cette liste complète a ensuite été transmise aux organismes d'application de la loi du monde entier, comme le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC), l'équipe de préparation aux urgences informatiques du département de la Sécurité intérieure des États-Unis (DHS/US-CERT), Europol, le Federal Bureau of Investigation (FBI), Interpol et la Gendarmerie royale du Canada (GRC). Le jour de la perturbation, les mandats et les avis de retrait ont été exécutés de façon coordonnée.
Depuis lors, nous avons constaté une forte baisse de l'activité de Dorkbot dans le monde entier, ce qui indique que la campagne de GME a réussi.
Windigo et le réseau de zombies Ebury
ESET a publié une première analyse technique exhaustive de ce que nous avons baptisé Operation Windigo en 2014. En résumé, Windigo était soutenu une backdoor qui a infecté des dizaines de milliers de serveurs Linux, sur lesquels un ou plusieurs composants malveillants supplémentaires ont été installés et utilisés pour monétiser le botnet, par exemple par l’envoi de courrier indésirable ou la redirection de trafic HTTP. Suite à cette publication initiale, nous avons commencé à collaborer avec le FBI, dans le cadre de leur enquête sur les cybercriminels derrière l'opération Windigo.
Notre contribution a consisté à partager les informations techniques issues de nos recherches sur les logiciels malveillants, telles que les adresses IP infectées, les informations tirées des messages indésirables envoyés par le botnet et d'autres informations pertinentes et accessibles au public, telles que les informations du registre des domaines.
Doté de ces informations, le FBI a pu faire sa part, lentement mais sûrement. Début 2015, un citoyen russe nommé Maxim Senakh a été identifié comme l'un des participants à l'opération Windigo et formellement inculpé aux États-Unis. Senakh a ensuite été arrêté par les autorités finlandaises à la frontière russe alors qu'il revenait de vacances en Russie, puis extradé vers les États-Unis en février 2016. Senakh a fini par plaider coupable de complot en vue de commettre une fraude électronique en violation de la Loi sur la fraude et les abus informatiques. Il a été condamné à 46 mois de prison.
Pour plus de détails sur cette histoire, lisez notre article de blogue sont disponibles dans notre blog : Les chercheurs d’ESET appuient la lutte du FBI contre Ebury : une peine de 46 mois pour Maxim Senakh.
Pourquoi s’y intéresser?
Compliquer la vie des cybercriminels mérite qu’on y consacre du temps et des efforts. Nous croyons que c'est l'une des meilleures façons d'aider à prévenir la cybercriminalité et de faire d'Internet un endroit plus sûr. Nous pensons aussi que c'est la bonne chose à faire.
Il y a plusieurs théories derrière la prévention classique du crime et nous ne prétendrons certainement pas être des criminologues. Cependant, il existe une correspondance nette entre ce que nous faisons pour combattre la cybercriminalité et la théorie de la « prévention du crime situationnel », qui est définie comme suit :
« La prévention du crime situationnel est fondée sur la prémisse que le crime est souvent opportuniste et vise à modifier les facteurs contextuels afin de limiter les occasions pour les délinquants de se livrer à un comportement criminel. »
Les techniques de prévention du crime situationnel peuvent être regroupées en diverses grandes catégories, dont trois sont liées à notre travail.
-
Accroître l'effort que la délinquance requiert
L'exécution de campagnes de perturbation coordonnées, comme celle dirigée contre Dorkbot, force les attaquants à se regrouper et à adopter de nouvelles stratégies et techniques, comme la création de nouveaux logiciels malveillants ou la modification des protocoles de communication, ce qui augmente clairement l'effort nécessaire au maintien d'une opération criminelle en cours.
-
Réduire les récompenses qui découlent de la perpétration d'un crime
La perturbation des opérations malveillantes augmente nécessairement le coût de la commission du crime, réduisant proportionnellement le bénéfice net (cet élément est donc lié au point à 1).
-
Accroître le risque associé à la délinquance
Le fait de fournir des renseignements techniques aux forces de l’ordre les aide à orienter leurs enquêtes dans la bonne direction et à bâtir des dossiers plus solides. L’augmentation du nombre d'enquêtes cybercriminelles menées avec une coopération accrue de la part des chercheurs en logiciels malveillants mènera à un plus grand nombre d'arrestations et de condamnations, augmentant ainsi le risque pour les cybercriminels d'être pris.
Certains pensent que si peu de cybercrimes sont punis, c’est parce qu'il est facile de mener des activités criminelles sur Internet de manière anonyme, sans courir une grande chance d'être retracé. En fait, c'est plutôt le contraire : maintenir une sécurité opérationnelle (OPSEC) parfaite est toujours assez difficile. Pensez à tout ce qui doit être fait pour exploiter une opération malveillante : lancer des campagnes d'infection, surveiller l'état du botnet, mettre à jour les composants malveillants, enregistrer des noms de domaine ou des services d'hébergement, monétiser l'opération elle-même, etc. Afin de réaliser le cybercrime parfait, chaque étape doit être parfaitement exécutée, tout le temps. Les cybercriminels sont des humains et les humains font des erreurs. Tout ce qu'il faut, c'est une mauvaise journée où un attaquant se connecte au mauvais serveur avant d'activer une connexion VPN ou TOR et une flèche géante pointant vers lui sera stockée dans un fichier journal quelque part, en attendant que quelqu'un la trouve.
Certaines personnes renoncent également à poursuivre les cybercriminels car, même lorsqu'ils sont identifiés, ces derniers restent hors de portée. Peut-être habitent-ils dans une juridiction qui n'a pas de lois efficaces contre la cybercriminalité, ou qui ne dispose pas de traité d'extradition mutuelle avec les pays qui enquêtent sur eux? Mais là encore, les humains font des erreurs. Il peut suffire qu'un cybercriminel connu quitte son pays pour prendre des vacances à l'étranger.
L'année 2017 a été marquée par un grand nombre d'arrestations dans diverses opérations de cybercriminalité, comme le souligne l'excellent résumé de Stephen Cobb. À mesure que les principaux organismes d'application de la loi acquièrent de l'expérience en travaillant avec des entités privées comme ESET pour traquer les cybercriminels, nous pouvons prédire avec une certaine confiance que 2018 apportera de plus en plus d'enquêtes fructueuses qui contribueront à faire de l'Internet un endroit plus sûr pour tout le monde. Sauf pour les cybercriminels.