Cleptogiciels : les opérateurs de Lumma n’ont pas jeté l’éponge

Fin mai, Microsoft annonçait une vaste opération contre le cleptogiciel (ou infostealer et maliciel dérobeur) Lumma.

L’éditeur expliquait alors que « plus de 1 300 domaines saisis par Microsoft, ou transférés à ce dernier (y compris 300 domaines pour lesquels les forces de l’ordre ont pris des mesures avec l’aide d’Europol), seront redirigés vers les sinkholes de Microsoft. Cela permettra à la DCU de Microsoft de fournir des informations exploitables afin de continuer à renforcer la sécurité des services de l’entreprise et de contribuer à la protection des utilisateurs en ligne. Ces informations aideront également les partenaires des secteurs public et privé à suivre, enquêter et remédier à cette menace ».

Ces noms de domaines sont liés à l’infrastructure de commande et de contrôle de Lumma. Leur nombre est même plus élevé : près de 2500. C’est l’administrateur de Lumma lui-même qui l’a révélé.

Et justement, dans un message repris le 23 mai, il explique que « contrairement aux opinions, rumeurs et articles publiés par le FBI lui-même, celui-ci n’a pas saisi notre serveur (du moins parce qu’il est situé dans un pays où il ne peut absolument pas le saisir), mais il a piraté le serveur à l’aide d’un exploit inconnu et formaté tous les disques ».

L’incident est survenu le 16 mai, indique-t-il, mais « nous avons rapidement restauré le fonctionnement du serveur et ajouté davantage de journaux afin de comprendre comment exactement les pirates (qui, comme nous l’avons découvert par la suite, n’étaient pas vraiment des pirates) avaient accédé au serveur ».

Mais les forces de l’ordre sont allées plus loin. « Après être entrés dans le serveur et, apparemment, ne pas y avoir trouvé les adresses IP des utilisateurs, ils ont intercepté notre domaine et y ont créé un site de phishing (le formulaire de connexion ressemblait presque à un vrai), qui a collecté les adresses IP réelles des clients et demandé l’accès à la webcam », détaille l’administrateur de Lumma.

De leur côté, les chercheurs de Check Point ont suivi l’évolution de l’activité associée à Lumma et ont trouvé plusieurs indications de sa résilience : « autre signe que le voleur d’informations Lumma est à terre, mais pas hors jeu, les informations volées sur les ordinateurs compromis continuent d’apparaître sur le marché en ligne. Par exemple, deux jours après l’opération, un bot Telegram automatisé qui vend les identifiants volés par Lumma proposait à la vente 95 journaux provenant de 41 pays. Au 29 mai, ce même bot contenait 406 journaux, ce qui montre une augmentation constante ».

En outre, relèvent-ils, « la boutique Russian Market qui vend en ligne des journaux d’infostealers contient des données provenant d’ordinateurs infectés par Lumma après la date de l’opération de démantèlement ».