Botnet Kneber : encore 74 000 victimes du passe-muraille Zeus

Des chercheurs en sécurité, pour le compte de la société NetWitness, ont une nouvelle fois découvert des preuves de l’existence du troyen Zeus. Un malware passe-muraille qui se fait fi des anti-virus et est à l’origine de vols de centaines de mots de passe sur des PC grand public et d’entreprise.

Les chercheurs affirment avoir découvert une “cache” de 75 Go, qui pourrait être le repère de pirates utilisant Zeus. Cette cache renferme des données volées à plus de 74 000 systèmes infectés par le malware. Les fichiers des hackers, contenant le butin d’un mois de vol de données cueillies entre mi-décembre et mi-janvier, ont été découverts le 26 janvier dernier à l’occasion d’une inspection de routine d’un réseau d’entreprise. Alex Cox, analyste chez NetWitness et chercheur, qui a mis la main sur la cachette, déclare avoir traqué le téléchargement du malware depuis le réseau de l’entreprise jusqu’à un serveur en Allemagne, laissé sans protection par les cyber-criminels.

NetWitness a baptisé les PC infectés par la dernière vague d’attaques de Zeus, le botnet Kneber. Zeus a permis le vol d’une importante quantité de données localisées sur les PC d’individus, au sein de systèmes d’entreprises ou d'institutions gouvernementales : quelque 68 000 crédences d’entreprises, 2 000 certificats SSL, les identifiants / mots de passe de sites bancaires et de réseaux sociaux. Les codes d'accès les plus ciblés par les hackers ont été ceux des comptes e-mail de Yahoo et ceux de Facebook. “Tout indique qu’ils aspiraient tout l’historique de navigation de l’utilisateur”, a déclare Alex Cox.

Une variante de Zeus très discrète

Parfois, les données réunissaient l’ensemble des éléments d’identité de la victime, affirme Cox. Zeus est capable de cambrioler le “coffre fort” du PC. Ce coffre fort, typiquement, capture les données entrées dans les formulaires en ligne, comme le nom, l’adresse, la date de naissance, et d’autres données plus sensibles. Tout laisse également penser que la cachette était toujours active au moment de sa découverte. Peu de temps après la découverte d'Alex Cox, les pirates l’ont abandonnée.

Mais le plus alarmant, souligne Cox, est que la variante du troyen Zeus utilisée lors des dernières attaques affiche un taux de détection par les antivirus inférieur à 10 %.  La communication entre botnets a également été rendue indétectable par les systèmes de détection d’intrusion. “Le problème ne réside pas tant dans l'existence d'un simple malware installé sur 75 000 machines, mais dans le fait que l’industrie de la sécurité reste incapable de répondre à ces incidents, surtout au regard du degré de gravité”, affirme le chercheur. Selon lui, les cyber-criminels exploitent aussi bien les vulnérabilités de Flash que celles d’Adobe Acrobat et de son lecteur, en expédiant notamment des PDF malicieux via de vastes campagnes de phishing.

Attaque des PC en bout de réseau

La vague d'attaques a été menée contre presque 2 500 entreprises et 10 agences gouvernementales américaines. Selon le Wall Street Journal, les ordinateurs en bout de réseau du géant de l’industrie pharmaceutique Marck & Co, de Cardinal Health, de Paramount Picture et de Juniper Networks ont été pris pour cible. Toutes ces entreprises ont confirmé que les attaques n’avaient touché que ce type de machine.

Selon NetWitness, une analyse des données a permis de déterminer que les machines contaminées étaient localisées dans presque 200 pays, dont la majorité en Egypte, au Mexique, en Arabie Saoudite, en Turquie et aux Etats-Unis. Les PC infectés tournaient sur Windows XP et Vista.

Quelques serveurs Windows et systèmes embarqués - également sous Windows - ont aussi été contaminés. Alex Cox dit avoir mis le doigt sur plus de 100 instances de serveurs d’entreprises compromis, sans toutefois préciser si les systèmes de fichiers étaient partagés. Les données piratées depuis les systèmes embarqués pouvaient avoir été subtilisées depuis des bornes ou de petits terminaux, y compris les distributeurs bancaires.

Les chercheurs traquent le troyen Zeus depuis plusieurs années. Le malware serait contrôlé par des gangs de cyber-criminels en Europe de l’Est. Plus de 150 variantes de Zeus circulent librement aujourd’hui et de nombreux kits à base de Zeus, destinés à automatiser les opérations de piratage, sont en vente sur des sites de hackers.