Un cybercriminel russe vole 3,2 M$ au gouvernement US avec Zeus et le toolkit SpyEye  

Des chercheurs de Trend Micro ont découvert cette activité criminelle, affirmant que, non seulement les Etats-Unis avaient été touchés, mais que 25 000 systèmes ont été infectés dans plus de 90 pays, dont le Royaume-Uni, le Brésil, le Mexique, la Thaïlande, la Turquie, l’Arabie Saoudite, l’Inde, la Roumanie et le Canada.

Le cybercriminel, qui aurait une petite vingtaine d’années, a utilisé les kits d’attaque de SpyEye et Zeus pour mener à bien cette opération, en s’associant les services de mules pour récupérer les fonds, et de deux complices installés en Californie. Pour augmenter le nombre d’infections aux Etats-Unis, le cybercriminel est soupçonné d’avoir acheté du trafic réseau en Amérique du Nord à d’autres criminels.

En s’appuyant sur les kits de SpyEye et de Zeus, Soldier n’est pas seulement parvenu à réaliser des opérations de fraude bancaire automatisées ; il a également réussi à voler des données d’accès à des sites tels que Facebook, Yahoo, Google, eBay, Amazon, Twitter, PayPal et Skype. Cette technique d’attaque devient de plus en plus commune et pose un problème croissant aux entreprises.

«Ce type n’a pas créé les outils; il les a achetés,» explique David Perry, directeur global éducation chez Trend Micro. «On parle de crime commercialement disponible. C’est une chose très moderne. L’auteur est un criminel de niveau moyen, pas un super-génie.»

En août, McAfee a levé le voile sur une attaque similaire, s’étant conclue par l’infiltration des réseaux d’entreprises et de gouvernements. L’opération Shady Rat a menacé le serveur de contrôle contenant les données de plus de 70 agences gouvernementales américaines, fournisseurs et entreprises. D’autres nations ont été compromises dans le cadre d’une opération qui a duré 5 ans. Ces attaques impliquent des messages classiques de phishing ciblé pour obtenir des victimes qu’elles cliquent sur un lien malicieux ou pour tromper leurs vigilance et les amener à fournir leurs crédences.

Dans le cadre de l’affaire découverte par Trend Micro, l’attaquant a réalisé la plupart de ses attaques en installant un code malicieux par injection SQL. Outre des incitations au téléchargement, il a également utilisé des tactiques telles que l’infection de partages réseau, de clés USB et de terminaux mobiles.

Bon nombre des 25 000 personnes concernées travaillaient pour de très grandes entreprises. Selon Perry, les systèmes des victimes ont été infectées à leur domicile avant que l’infection ne soit propagée à l’entreprise. «Les victimes ont ouvert une fenêtre,» explique-t-il.

Les chercheurs de Trend Micro ont suivi le pirate depuis le mois d’avril et ont informé les autorités compétentes. L’attaque dure depuis le mois de janvier 2011. Les chercheurs ont vérifié les adresses IP enregistrées dans le serveur de commande de SpyEye et découvert que «une grande variété de grandes entreprises et de multinationales américaines de divers secteurs industriels ont été représentées dans la population des victimes,» indique Loucif Kharouni, chercheur sénior chez Trend Micro.

Les organisations concernées sont toutes des entreprises du Fortune 1000 et, parmi elles, on compte aussi des institutions du américaines - gouvernement, armée, éducation, recherche - ainsi que des banques, des aéroports, des constructeurs automobiles, des entreprises des médias, et des technologiques.  

Perry n’a pas donné de nom afin de ne pas gêner l’enquête en cours. Mais il insiste sur le fait que ce n’est pas parce que les sites utilisés par le pirate ont été fermés que le pirate ne parviendra pas à infecter de nouvelles entreprises.

«C’est un modèle pour de nombreux crimes à venir,» estime Perry. «C’est une étape. Et elle est importante parce qu’en tant qu’utilisateur d’Internet, elle vous fait réaliser qu’il pèse une menace profonde sur votre vie privée. En termes de répercussions, c’est aussi important que la révolution américaine. Nous devons faire attention à la manière dont cela va affecter la vie privée et la sécurité.