PC Sans Virus

Une mine d'or pour l'économie souterraine

Les cybercriminels achètent et revendent régulièrement les données personnelles et financières de leurs victimes

les spécialistes de la recherche en sécurité constatent que ce commerce illégal va bien au-delà de la simple vente de donnéesCependant, les spécialistes de la recherche en sécurité constatent que ce commerce illégal va bien au-delà de la simple vente de données. C'est maintenant l'accès à votre ordinateur qui est monnayé.

En juin, la société de sécurité Internet Finjan a signalé que ses analystes avaient découvert une plate-forme commerciale en ligne permettant à des acheteurs criminels de louer ou d'acheter des blocs de systèmes compromis, couramment appelés bots ou zombies. Ce réseau d'échange illégal, baptisé "Golden Cash" par ses créateurs, est un moyen simple pour les cybercriminels de tirer profit du contrôle des systèmes de leurs victimes.

Ce service, qui a disparu depuis sa découverte, est un point de vente central répondant à tous les besoins des cybercriminels, déclare Yval Ben-Itzak, directeur technique chez Finjan.

"Vous pouvez y accéder et y acheter autant d'ordinateurs infectés que vous le souhaitez", explique-t-il. "Ensuite, vous pouvez configurer les systèmes comme vous l'entendez... en utilisant simplement le site."

De tels services peuvent s'avérer extrêmement lucratifs pour leurs créateurs malveillants. Au moment de la publication du rapport, le site Golden Cash versait à ses partenaires entre 5 et 100 dollars pour un bloc de 1 000 PC infectés. Les prix variaient en fonction de la localisation des systèmes : peu élevés pour les systèmes en Chine, à Taïwan, en Corée du Sud et aux Philippines et très élevés pour les systèmes en Australie. Les clients pouvaient ensuite "acheter" les systèmes à des prix variant entre 20 et 500 dollars pour 1 000 bots, toujours en fonction de la localisation. Etant donné que les acheteurs peuvent utiliser les systèmes et les revendre une fois qu'ils n'en ont plus besoin, le nombre de bots disponibles est en permanence renouvelé.

"Un même ordinateur est revendu maintes et maintes fois et passe entre de nombreuses mains", déclare Yval Ben-Itzak. "Vous pouvez acheter des ordinateurs et les utiliser indéfiniment ou les utiliser pendant une semaine seulement.

Une évolution, pas une révolution

Comme beaucoup d'entreprises lucratives, le réseau Golden Cash n'est pas une technologie révolutionnaire, mais une combinaison de modèles économiques qui ont fait leurs preuves sur Internet.

Dans le passé, par exemple, des groupes de cybercriminels détenteurs de réseaux de bots importants segmentaient le pool d'ordinateurs compromis en réseaux plus petits qui pouvaient être vendus. Golden Cash a amélioré le système en permettant non seulement aux acheteurs de choisir la taille de leur réseau de bots, mais aussi de personnaliser les logiciels placés sur ces systèmes.

"Je pense que nous assistons là à une évolution", explique Yval Ben-Itzak.

D'après lui, les criminels font de la marge sur chaque vente et incitent donc leurs clients à acheter de plus en plus de bots pour accroître leurs bénéfices.

Par ailleurs, ils ont réalisé à quel point il était difficile de gérer des réseaux de bots comprenant des centaines de milliers, voire des millions d'ordinateurs compromis. Selon Vincent Weafer, vice-président du groupe Symantec Security Response, il est plus aisé de gérer 100 réseaux de 10 000 systèmes chacun plutôt qu'un seul réseau comprenant un million d'ordinateurs.

"Nous avons assisté à l'apparition de services d'hébergement de sites Web, à la formation de groupes d'affiliés et à des systèmes de paiement au nombre de clics", explique Vincent Weafer. "Tous ces systèmes existent depuis un certain nombre d'années maintenant, mais ils ont tous été réunis au sein du réseau Golden Cash."

 

Esclavage numérique

Difficile, pour votre ordinateur, de passer à travers les mailles du filet. Les cybercriminels (ou leurs partenaires, que l'on appelle des affiliés) compromettent même les sites Web les plus réputés avec du code qui peut ensuite être utilisé pour infecter les ordinateurs d'utilisateurs imprudents.

Par exemple, la première chose que le cheval de Troie Golden Cash fait après avoir infecté l'ordinateur d'une victime est de rechercher les noms d'utilisateurs et les mots de passe permettant d'accéder à des serveurs de fichiers. Avec ces identifiants, les cybercriminels peuvent continuer à prendre le contrôle de serveurs Web et des sites hébergés sur ces serveurs. Au cours de ses investigations, Finjan a découvert un fichier cache de noms d'utilisateurs et de mots de passe permettant d'accéder à plus de 100 000 sites.

"Ces identifiants sont ensuite utilisés par les partenaires pour introduire leur code malveillant dans les pages des sites Web", révèle le rapport qui indique aussi que "la liste en question comportait des noms de domaines d'entreprises dans le monde entier."

Dans certains cas, les fraudeurs introduisent du code malveillant dans de fausses publicités en ligne qui sont ensuite diffusées par des services de publicité sur de nombreux sites Web.

Les sites Web les plus populaires ne sont pas épargnés par ces attaques. Début septembre, l'édition en ligne du New York Times a hébergé un certain nombre de publicités avec du code malveillant incorporé. CNN, ZDNet, Yahoo! et même certains sites gérés par des sociétés de sécurité ont tous été cooptés d'une manière ou d'une autre pour héberger du code malveillant.

Résultat : les ordinateurs des internautes qui visitent des sites Web légitimes hébergeant des publicités malveillantes sont asservis par du code indésirable et vendus sur des sites de l'économie souterraine tels que Golden Cash.

Cycle criminel

La vente de bots suit un cycle propre qui commence avec l'affilié. Les affiliés adhèrent au service Golden Cash et infectent les ordinateurs des victimes avec un cheval de Troie personnalisé. Ils touchent de l'argent pour chaque ordinateur compromis par le logiciel.

Une fois que le logiciel indésirable a infecté un système informatique, la première chose qu'il fait c'est d'accéder aux noms d'utilisateurs et mots de passe associés aux sites Web susceptibles d'être gérés par l'utilisateur du système.

Le système informatique de la victime est alors intégré au pool de bots asservis proposés aux autres cybercriminels par le biais du site Web dédié. Les ordinateurs basés en Australie, au Royaume-Uni et dans les autres pays européens ont plus de valeur que ceux basés en Afrique et en Asie, explique Vincent Weafer.

"Les prix varient d'un cent ou deux (par système) à 50 cents", précise-t-il. "Tout dépend de la localisation."

Les bénéfices générés par ces techniques illégales peuvent être considérables. Les affiliés peuvent gagner des millions de dollars en contribuant à infecter des ordinateurs avec Golden Cash ou tout autre code malveillant. Une capture d'écran trouvée sur le Web par l'expert en sécurité de la société antivirus Sophos, Dmitry Samosseiko, a montré qu'un affilié a gagné près de 6 500 dollars par mois avec un faux lecteur vidéo. Dans un article publié en septembre, l'expert a écrit qu'un autre service malveillant prétend qu'un de ses partenaires avait gagné près de 5 000 dollars en 11 jours.

"En supposant que la plupart des administrateurs de sites dirigent leur trafic vers plusieurs sponsors à la fois, on comprend aisément que des techniques telles que les réseaux marketing d'affiliés soient des plans de carrière extrêmement attirants pour des férus de l'informatique en Europe de l'Est", explique-t-il.