Operation Tovar : Quand le DoJ démantèle un réseau de pirates international

1

Le ministère américain de la Justice (DoJ) a annoncé hier lundi 2 juin le démantèlement d’un nouveau réseau de pirates informatiques international étant responsable de plusieurs dizaines de milliers d’attaques ayant permis de voler plusieurs millions de dollars.

Cette opération de grande ampleur intervient quelques jours à peine après les multiples arrestations de pirates informatiques utilisant le maware BlackShades à des fins de fraude bancaire. Pour rappel, 50 perquisitions ont eu lieu en France dans cette précédente affaire, sans compter les dizaines de mules arrêtées pour blanchiment. La aussi, ce sont les renseignements américains qui ont aidé les français après les avoir mis sur la pistes des cybercriminels.

Tovar est le nom de l’opération qui a été menée conjointement par Interpol et plusieurs polices nationales (dont la France, le Japon, l’Italie, la Nouvelle-Zélande, le Luxembourg). Une action d’envergure qui, d’après les dires du DoJ américain, viserait le plus important réseau de cybercriminels au monde, jamais stoppé ! En effet, le réseau baptisé “Gameover Zeus” serait le plus sophistiqué que le FBI et nos alliés ont jamais tenté de démanteler. Mais bon, il faut noter que l’on entend souvent ce genre d’affirmations quelque peu grandiloquentes avec eux…

Les membres de ce réseau international est responsable du vol de millions de dollars sur le sol américain mais aussi à des centaines d’entreprises de par le monde.

Tovar a exploité le climat de tension politique actuel entre la Russie et l’Ukraine et le reste du monde, notamment l’Europe et les Etats-Unis, qui a permis de procéder à un grand nettoyage et donner l’opportunité de “couper des têtes de réseau”, dont l’homme le plus important et influent du réseau Gameover Zeus, un russe de 30 ans prénommé Evgeniy Mikhailovich Bogachev, inculpé par le tribunal de Pittsburgh en Pennsylvanie au mois d’août 2012. Ce dernier était connu sous divers pseudos tels que Slavik, Pollingsoon, 92829 ou encore lucky12345 et aurait, même si cela semble être tabou, des entrées au Kremlin… Quoi qu’il en soit, l’homme faisait parti des “Most Wanted” publiés par le FBI.

evgeniy-mikhailovich-bogachev-most-wanted-gameover-fbi

Cet ingénieux russe n’a pas pu résister à l’alliance entre la police ukrainienne, le FBI et l’EC3 européen (Europol), qui ont réussi l’exploit de mettre hors service le centre de commande et de contrôle (C&C) du botnet principal du réseau basé à Kiev et Donetsk. L’architecture était complexe et très sophistiquée : ces nœuds principaux tenaient sous leur emprise des serveurs annexes basés en France, Canada, Allemagne, Luxembourg, Pays-Bas et au Royaume-Uni tenus par des “lieutenants” de confiance, qui eux-mêmes contrôlaient plus de 320 000 ordinateurs de particuliers et d’entreprises transformés en zombies.

Ci-dessous, un schéma en anglais expliquant le processus de fraude bancaire via le cheval de Troie ZeuS :

zeus_fraud_chart

Bien entendu, le seul but de tout cela était de dérober un maximum d’argent et le gang mafieux ne reculait devant rien. Bogachev a commencé à intéresser le FBI après la découverte d’une version modifiée du cheval de Troie Zeus, connu sous le nom Gameover Zeus (GOZ), plus perfectionnée et indétectable par rapport à son grand frère plus populaire. Le FBI indique que GOZ serait responsable de plus d’un million d’infections de systèmes informatiques, entraînant des pertes financières de centaines de millions de dollars. Bogachev a également été accusé de complot en avril 2014 en vue de commettre une fraude bancaire liée à son implication présumée dans le fonctionnement d’une autre variante d’un code malveillant connu sous le nom “Jabber Zeus”.

Le réseau est tellement immense que les autorités le soupçonne d’avoir infecté près d’un million de machines partout dans le monde grâce au botnet Gameover Zeus (ou GOZeuS) mais aussi via le ransomware Cryptolocker, qui aurait déjà infecté plus de 234 000 machines. Du coup, les autorités (dont le NCA, National Crime Agency britannique) appellent les internautes du monde entier à renforcer la sécurité de leurs machines et de procéder à un nettoyage poussé des malwares présents sur ces dernières.

Cryptolocker

Les Botnets infectent généralement leurs victimes de manière opportuniste plutôt que via des attaques ciblées. Le plus souvent, la finalité est de prendre le contrôle des machines afin de perpétrer des attaques par déni de service distribué (DDoS), via des redirections de communications depuis un centre de commande et de contrôle (C&C) et de rassembler des informations personnelles d’identifications et des codes d’accès de haute importance“, souligne Olivier Mélis, Country Manager France chez CyberArk.

Bien qu’elles concernent principalement les individus, ces attaques opportunistes sont également en mesure d’atteindre les réseaux d’entreprises afin de détourner les codes d’accès, que ce soit à travers l’infection d’une machine au sein du réseau ou les identifiants VPN. Les cybercriminels peuvent ainsi viser les particuliers mais également les organisations qui leur permettent de faire des bénéfices financiers plus intéressants.

National Crime Agency

A n’en pas douter, c’est donc un coup d’arrêt pour un très important réseau cybercriminel qui a été réalisé d’une main experte et à l’échelle mondiale. Néanmoins, il ne faut pas oublier qu’il en reste encore beaucoup qui perpétuent ce juteux business. De plus, la NCA a indiqué le début d’un compte à rebours de 14 jours avant que de nouvelles campagnes de Gameover Zeus et Cryptolocker ne soient de nouveau opérationnelles. D’où l’importance que les victimes nettoient leurs systèmes des malwares avant cette date fatidique à laquelle elles se retrouveront de nouveau  sous le joug d’un botmaster pirate… Le US CERT quand à lui a publié une alerte.

 

Source : Zataz

1 COMMENTAIRE

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.