Étude des menaces

Neutralisation d'un botnet bancaire

Jeff Elder, 2 octobre 2019

Des erreurs de sécurité ont mis à nu un groupe criminel ayant accédé à des millions d'euros sur environ 800 000 comptes bancaires.

Des collègues discutent sur Skype à propos du bon vieux temps, de leur salaire et de leur baisse de moral. « Je ne suis pas motivé et je n’ai envie de rien faire », dit l’un d’entre eux. 

Un jour ordinaire dans la vie d'un professionnel de la technologie ? En quelque sorte, à une différence près. Ce groupe a participé à l’exécution d’un botnet (réseau de robots) malveillant, qui leur a permis d’accéder à des millions d'euros sur les comptes bancaires d'environ 800 000 victimes. 

Le laboratoire de menaces d’Avast a aidé à lever le rideau sur le botnet Geost. En utilisant 13 serveurs de contrôle et de commande pour exécuter des centaines de domaines malveillants, ce botnet a pillé des comptes bancaires en Russie. Ironie du sort, ce sont des failles de cybersécurité qui ont dénoncé l'ensemble de l'opération, y compris ce que les développeurs malintentionnés s’étaient dit en ligne. 

« Cela nous donne une vue sans précédent sur la façon dont fonctionne ce type d’opération », a déclaré Anna Shirokova, chercheure chez Avast, qui a aidé à repérer le groupe criminel. « Ce groupe a fait de très mauvais choix quant à la manière de cacher ses actions. Nous avons donc pu voir non seulement des échantillons de programmes malveillants (malwares), mais aussi étudier leur fonctionnement. »

Le botnet Geost utilisait une infrastructure complexe de téléphones Android infectés, connectés au botnet et contrôlés à distance. Les attaquants lisaient et envoyaient des messages, communiquaient avec des banques et redirigeaient le trafic des téléphones sur différents sites. 

Une recherche menée par Anna Shirokova, Sebastian Garcia (Université technique de Prague) et Maria Jose Erquiaga (Université UNCUYO), donne un aperçu rare d’une opération de cybercriminalité échouant à cause de ses propres propres erreurs de sécurité. 

Les pirates ont commis plusieurs erreurs : ils ont fait confiance à un réseau proxy malveillant, n’ont pas réussi à chiffrer les serveurs de commande et de contrôle, ont réutilisé des services de sécurité, ont fait confiance à d'autres attaquants utilisant une sécurité encore moins opérationnelle et ont échoué à chiffrer leurs sessions de conversation.

« En résumé, un enchaînement de petites erreurs a suffit à mettre à nu le fonctionnement d'un grand botnet bancaire sur Android », écrivent les auteurs dans leur document de recherche. 

Ces sessions de conversation s’apparentent à un documentaire sur des êtres humains œuvrant dans un grand groupe cybercriminel. Un des membres encourage son collègue « démotivé » en lui rappelant la récompense à la clé :

« Alexander, vraiment, on a commencé ensemble, on termine ensemble. Parce que, pour le moment, ça marche et on peut gagner de l'argent. » 

En vain. Son collègue déclare : « J'y ai pensé, et je ne veux pas participer. »

Compréhensif, le collègue répond : « D’accord, je comprends. Dommage. Si tu changes d'avis, écris-moi. » 

« Cet aperçu très intéressant des relations sociales au sein d'un groupe de cybercriminels clandestins » comporte plus de 6 200 lignes sur huit mois de conversation et inclut les conversations privées de 29 personnes impliquées dans différentes opérations. 

Bien qu’opérant depuis au moins 2016, le réseau de robots Geost est resté inconnu jusqu'à ce que son trafic soit capturé par HtBot, un malware sur le serveur malveillant. Les chercheurs présenteront leur travail à la conférence Virus Bulletin à Londres. Le laboratoire de menaces d’Avast continuera à surveiller les différents aspects de l'opération.