211service.com
L'essor du botnet pointer-cliquer
En 2005, un groupe de hackers russe connu sous le nom d'UpLevel a développé Zeus, un programme pointer-cliquer pour créer et contrôler un réseau de systèmes informatiques compromis, également connu sous le nom de botnet. Cinq ans de développement plus tard, la dernière version de ce logiciel, qui peut être téléchargée gratuitement et nécessite très peu de compétences techniques pour fonctionner, est l'une des plateformes de botnet les plus populaires pour les spammeurs, les fraudeurs et les personnes qui traitent des informations personnelles volées.

Saisie d'argent : Le logiciel Zeus crée un voleur de mot de passe qui cible les identifiants de connexion pour Citibank, WebMoney et Wells Fargo, entre autres sociétés financières.
La semaine dernière, la société de sécurité NetWitness , basé à Herndon, en Virginie, a publié un rapport mettant en évidence le type de dégâts que le logiciel peut causer. Il documente un botnet Zeus qui contrôlait près de 75 000 ordinateurs dans plus de 2 400 organisations, dont le producteur de médicaments Merck, le fabricant d'équipements de réseau Juniper Networks et le studio hollywoodien Paramount Pictures. En quatre semaines, le logiciel a été utilisé pour voler plus de 68 000 identifiants de connexion, dont des milliers de connexions Facebook et Yahoo par e-mail.
Ils avaient des systèmes compromis au sein des entreprises et des agences gouvernementales, explique Alex Cox, analyste principal chez NetWitness.
Une enquête menée par une autre société de sécurité basée à Atlanta Damballa – a constaté que les programmes contrôlés par Zeus étaient les deuxièmes plus courants au sein des réseaux d'entreprise en 2009. Damballa a suivi plus de 200 botnets basés sur Zeus dans les réseaux d'entreprise. Le plus grand botnet contrôlé à l'aide de la plate-forme Zeus se composait de 600 000 ordinateurs compromis.
Le logiciel Zeus est moins important pour ses conquêtes que pour sa haute estime parmi les cybercriminels. Zeus est incroyablement populaire auprès des personnes qui souhaitent bricoler et créer leur propre petite entreprise, si vous voulez, explique Gunter Ollman, vice-président de la recherche pour Damballa.
Un groupe de quatre ou cinq développeurs a commencé à travailler sur Zeus en 2005. L'année suivante, ils ont publié la première version du programme, un cheval de Troie de base conçu pour se cacher sur un système infecté et voler des informations. En 2007, le groupe a sorti une version plus modulaire, qui a permis à d'autres développeurs underground de créer des plug-ins pour ajouter à ses fonctionnalités.
La dernière plate-forme Zeus permet aux utilisateurs de créer des logiciels malveillants personnalisés pour infecter les systèmes cibles, gérer un réseau étendu de machines compromises et utiliser le botnet résultant à des fins illégales. Le kit de construction contient un programme pour construire le logiciel de bot et des scripts Web pour créer et héberger un serveur central de commande et de contrôle.
Des développeurs indépendants ont créé des packs d'exploits compatibles capables d'infecter les systèmes des victimes en utilisant des vulnérabilités dans le système d'exploitation ou le navigateur. D'autres développeurs se concentrent sur la création de plug-ins pour aider les cybercriminels potentiels à gagner de l'argent à partir d'un botnet Zeus. Certains modules complémentaires se concentrent sur les attaques de phishing, en fournissant les images et les pages Web nécessaires pour créer des sites bancaires frauduleux, par exemple. D'autres modules complémentaires donnent aux opérateurs de bots les outils nécessaires pour créer des campagnes de spam. Il existe toute une industrie artisanale autour de la création de modules complémentaires pour Zeus, déclare Don Jackson, chercheur en sécurité au sein du Unité de contre-menace chez SecureWorks, une entreprise basée à Atlanta.
La disponibilité du code source de Zeus a attiré de nombreux développeurs, dit Jackson. Les malfaiteurs en ligne qui cherchent à contrôler leur propre botnet commencent par Zeus, car il est simple à utiliser, dit-il, tandis que les modules complémentaires et les extensions satisfont les utilisateurs plus sophistiqués. Il est très facile à utiliser dès le départ, dit Jackson. Mais lorsque vous ajoutez des fonctionnalités avancées qui coûtent des milliers de dollars, cela devient un outil pour les opérateurs avancés.
Même les kits Zeus de base incluent des techniques d'obscurcissement pour aider à échapper à la détection par un logiciel antivirus et d'autres mesures de sécurité. Dans une expérience, le consultant Alex Heid des Services de sécurité de l'information a découvert que seulement la moitié environ des logiciels antivirus détectaient une charge utile Zeus connue. Après avoir utilisé quelques techniques simples pour masquer le code, le taux de détection a encore chuté, à 10 %. Les technologies de la cybercriminalité progressent plus rapidement que les technologies de sécurité, dit Heid.
Une fois que Zeus a compromis un système, cela ne donne à l'utilisateur aucun signe qu'il est là, selon Jackson. À quoi ressemble Zeus lorsqu'il infecte votre ordinateur ? Eh bien, regardez votre ordinateur maintenant, et voilà à quoi il ressemble, dit Jackson. Il est conçu pour faire son travail et le faire avec succès et en silence.
Alors que Damballa et NetWitness vendent des technologies et des services pour détecter les compromissions sur les réseaux d'entreprise, ils ne fournissent pas de logiciels pour les utilisateurs finaux.
La plupart des entreprises avec lesquelles nous travaillons ont un grand nombre d'utilisateurs, elles renoncent donc essentiellement à défendre leurs ordinateurs, explique Ollmann. Vous faites de votre mieux avec les antivirus et les pare-feu, mais ils acceptent qu'un certain pourcentage de leurs systèmes soit infecté, ils se concentrent donc sur la détection et la reconstruction des systèmes (compromis) plutôt que sur la défense contre toutes les menaces.
Cox ajoute que se concentrer sur les communications entre les systèmes infectés et un serveur de commande et de contrôle est généralement le meilleur moyen de détecter les infections. Comprendre à quoi ressemble la normalité sur votre réseau afin de pouvoir identifier les anomalies est ce qui est vraiment important dans l'environnement de menace actuel, dit-il. Ne vous fiez pas uniquement à vos contrôles de sécurité existants et jetez un œil sur votre réseau.