Le procès des créateurs du cheval de Troie bancaire Lurk est enfin terminé. Ils ont été interpellés lors d’une opération conjointe sans précédent entre plusieurs autorités et nos experts. Les criminels ont été arrêtés en 2016 mais l’enquête et l’affaire traînent depuis cinq ans. Ce n’est pas vraiment surprenant puisque le nombre de suspects et de victimes étaient exceptionnels. Il a fallu un bus entier pour amener tous les membres de Lurk au tribunal, et les dossiers représentaient 4000 volumes (1 volume = 250 pages). La charge de travail était colossale et exigeait beaucoup de temps. Les suspects ont analysé chaque rapport et déclaration au peigne fin, mais 27 accusés ont été jugés en 2018.
Kaspersky surveillait les activités du groupe depuis 2011. J’ai entendu parler de Lurk pour la première fois en 2013, lorsque j’ai rejoint Kaspersky. Je me souviens avoir pensé : « Attrape-les et tu peux prendre ta retraite. Tu auras fait du bon travail et tu pourras arrêter ta carrière. » Par rapport aux cybercriminels habituels, ils étaient très sophistiqués, tant sur le plan technique qu’organisationnel. Cela étant dit, si je détectais Lurk aujourd’hui, je serai certainement moins impressionné et je les verrais simplement comme un groupe qui a adopté d’excellentes méthodes.
Le verdict du tribunal est une bonne excuse pour faire une rétrospective et comprendre pourquoi leur activité criminelle était si spéciale.
Leur tactique d’infection
Nous devrions commencer par le vecteur d’attaque. Les cybercriminels ont utilisé la méthode de l’attaque de point d’eau, en publiant une page qui redirigeait vers un kit d’exploit sur plusieurs sites d’entreprises médiatiques. Cette méthode n’était pas nouvelle mais, dans ce cas, pour que l’ordinateur soit infecté, la victime (toujours un comptable) devait consulter le site pendant sa pause repas (et seulement à ce moment-là). Le kit d’exploit téléchargeait un cheval de Troie immatériel sur l’ordinateur qui n’était utilisé qu’à des fins d’espionnage.
Les cybercriminels étudiaient d’abord quels programmes s’exécutaient sur la machine, s’il y avait des traces de logiciels bancaires ou de programmes de recherche, et quels sous-réseaux le dispositif utilisait. Les réseaux bancaires et gouvernementaux étaient l’objectif principal. En d’autres termes, ils déterminaient si l’ordinateur était intéressant et savaient exactement qui ils voulaient infecter.
Le malware principal n’était téléchargé que si l’ordinateur était vraiment fascinant. Dans le cas contraire, ils volaient tous les mots de passe qu’ils trouvaient et supprimaient le malware.
La communication avec le C&C
Le processus d’échange des informations entre le cheval de Troie et le serveur de commande et contrôle (C&C) était tout aussi remarquable. L’adresse du C&C était codée en dur dans la plupart des chevaux de Troie de cette époque. Les auteurs indiquaient simplement le nom du domaine, ce qui leur permettait, le cas échéant, de modifier l’adresse IP du serveur : ainsi, s’ils perdaient le contrôle de l’adresse principale du C&C, ils pouvaient la remplacer par une de secours. Il faut reconnaître que ce mécanisme de sécurité était assez primitif. Lurk était très différent à cet égard : le groupe utilisait une technique digne d’un roman d’espionnage.
Avant d’ouvrir une session de communication, Lurk calculait l’adresse du serveur C&C. Les cybercriminels allaient sur Yahoo et recherchait le cours d’une action d’une entreprise en particulier ; McDonald’s lors de notre étude. Selon la valeur de l’action à un moment précis, ils généraient un nom de domaine et y accédaient. Ainsi, pour contrôler le cheval de Troie, les cybercriminels consultaient le cours d’une action à ce moment-là et enregistraient le nom du domaine en s’inspirant de ces chiffres. En d’autres termes, il était impossible de savoir à l’avance quel serait le nom de domaine du serveur C&C.
Cette situation soulève une question légitime : si l’algorithme était intégré dans le cheval de Troie, qu’est-ce qui empêchait un chercheur de générer une séquence similaire, d’enregistrer un nom de domaine avant les cybercriminels et d’attendre que le cheval de Troie s’y connecte ? Malheureusement, les créateurs de Lurk avaient pris des précautions. Ils utilisaient une cryptographie asymétrique. Ainsi, une paire de clés était générée, et le bot, ayant accès au serveur C&C, pouvait utiliser cette clé publique pour vérifier si elle appartenait vraiment aux propriétaires, notamment en analysant la signature numérique. C’est impossible à faire sans la clé secrète. Seul le propriétaire de la clé secrète peut recevoir les demandes faites par les bots et émettre des ordres. Aucun chercheur externe ne peut imiter le serveur C&C. À cette époque, les autres cybercriminels n’utilisaient pas une telle méthode, et si nous détections une protection par clé secrète sur le serveur, nous étions sûrs qu’il s’agissait d’une attaque Lurk.
Une infrastructure organisée
La mise en place des processus de Lurk mérite une mention particulière. Si les membres d’autres groupes de cybercriminels n’étaient que des utilisateurs quelconques de forums (une personne programmait, une autre encaissait et une dernière coordonnait), l’organisation de Lurk, au contraire, ressemblait à une véritable entreprise informatique. Il est plus juste de comparer cette organisation avec une grande entreprise de logiciels qu’avec un groupe de cybercriminels. De plus, au niveau organisationnel, Lurk est encore un modèle à suivre pour de nombreux groupes.
Lurk était dirigé par de vrais professionnels, probablement avec beaucoup d’expérience en développement, qui avaient mis en place une infrastructure très organisée avec des responsables et une équipe de ressources humaines. À la différence des autres gangs, les employés avaient un salaire fixe, et ne recevaient pas seulement un pourcentage des bénéfices. Ils organisaient même des réunions hebdomadaires, ce qui était inimaginable à l’époque. Pour faire simple, cette entreprise malveillante est remarquable.
Ils avaient même un système clairement structuré suivant les rôles lorsqu’il s’agissait de restreindre l’accès aux informations. Après leur détention, certains membres du groupe ont lu les conversations de leurs responsables et se sont alors rendu compte qu’ils n’étaient pas traités de façon équitable.
Ils ont minutieusement documenté toutes leurs activités, beaucoup plus que certaines entreprises informatiques le font de nos jours. Évidemment, ces informations ont été d’une aide précieuse pour l’enquête. C’est peut-être aussi ce qui a entraîné leur chute : plus votre approche est systématique, plus le suivi est facile. Voici quelques exemples.
Les bases de connaissances
Le groupe Lurk a maintenu une base de connaissances détaillées, clairement divisée selon les projets. Seulement un cercle restreint de personnes avait accès à chaque projet, et les participants d’un projet ne connaissaient pas les activités d’un autre. L’ampleur de chaque projet variait beaucoup puisqu’ils pouvaient être très techniques ou simplement organisationnels. Les projets techniques se divisaient en plusieurs sous-niveaux. Par exemple, les développeurs d’un cheval de Troie n’avaient accès qu’à certains sujets des bases de connaissances : comment déjouer l’antivirus, comment faire un test, etc. Il y avait aussi des bases de données de sécurité opérationnelle, similaires aux règlements de sécurité des grandes entreprises. Ces documents expliquaient notamment aux employés de Lurk comment ils devaient configurer leurs postes de travail pour ne pas être détectés et comment ils devaient utiliser les outils d’anonymisation.
L’accès aux informations
Pour avoir accès aux ressources informatives de Lurk, les cybercriminels devaient se connecter à un serveur en utilisant plusieurs VPN. Ce n’est qu’à ce moment-là qu’ils avaient accès au gestionnaire du bot. Ensuite, chaque employé obtenait son propre certificat et un compte avec différents droits. En d’autres termes, cette organisation ressemblait à celle de n’importe quel réseau d’entreprise mis en place pour le télétravail. De manière générale, leur organisation aurait pu être celle d’une entreprise modèle s’ils avaient aussi utilisé la 2FA.
Physiquement, tous les serveurs se trouvaient dans différents centres de données et dans différents pays. Lorsque vous en atteigniez un au niveau virtuel en utilisant un VPN, vous ne connaissiez pas la vraie adresse IP du serveur. C’est principalement à cause de ça qu’il a été aussi difficile de localiser le groupe.
Le développement
Le groupe Lurk avait ses propres réserves de code source, des procédures automatiques de construction et de test en plusieurs étapes, un serveur de production et un serveur de développement. Ils cherchaient essentiellement à créer un produit logiciel sérieux : ils pouvaient à tout moment produire, tester et développer la version d’un cheval de Troie.
À cette époque, le serveur C&C d’un cheval de Troie banal pouvaient recevoir les demandes des bots, les enregistrer dans une base de données et fournir un panneau administrateur pour les gérer. Tout ce processus a été implanté de façon efficace dans une seule page. Lurk a séparé le panneau administrateur et la base de données, alors que le mécanisme d’envoi des réponses aux bots était complètement caché par un service intermédiaire.
Les kits d’exploit
Lurk avait trois kits d’exploit, tous avec un nom différent : un interne, inventé par les développeurs ; un pour les clients et les associés ; et un troisième donné par les chercheurs. Les auteurs de Lurk utilisaient leurs propres développements mais en plus ils vendaient des kits d’exploit à d’autres cybercriminels. De plus, les versions proposées aux « associés » avaient un code différent. Il s’agissait clairement d’une tentative de dissimulation pour faire croire qu’un autre kit d’exploit très populaire était actif.
La chute de Lurk
Au bout du compte, toutes les astuces inventées par les cybercriminels n’ont été d’aucune aide. La plupart des membres du groupe ont été interpellés, mais seulement une fois que le mal avait été fait. Tout au long de leur carrière, les cybercriminels ont réussi à voler près de 45 millions de dollars. Nos experts ont étudié leurs méthodes pendant près de six ans ce qui, cela dit en passant, nous a apporté une expérience précieuse dont nous nous servons encore aujourd’hui pour vaincre la cybercriminalité.
Si vous voulez savoir quelles conclusions les entreprises peuvent tirer de cette histoire, nous vous invitons à lire cet article. Une analyse technique détaillée est également disponible sur Securelist.