Lurk : mort et enterré

Comment Kasperky Lab et la police russe ont réussi à débusquer les cybercriminels à l’origine du cheval de Troie bancaire Lurk et du kit d’exploit Angler ?

Le plus gros problème sans doute avec les cybercriminels est qu’ils sont extrêmement difficiles à coincer. Par exemple, lors d’un braquage de banque à main armée et aux visages masqués, les voleurs laissent leurs empreintes : leurs voix sont enregistrées par les caméras de surveillance, etc. Tout ceci aide les enquêteurs à trouver les suspects. Mais lorsqu’il s’agit d’un cambriolage, les voleurs ne laissent aucune trace. Pas d’indices.

Parfois il arrive qu’ils soient démasqués. Vous vous rappelez du cheval de Troie bancaire SpyEye ? Ses créateurs avaient été coincés en 2011. Ou encore du groupe Carberp, actif entre 2010 et 2012 ? Même sort pour eux. Et qu’en est-il de l’infâme kit d’exploit Angler, qui avait soudainement disparu des écrans radar en juin dernier ? Le malware Lurk a cessé ses attaques à peu près à la même époque après que le groupe de développeurs ait été arrêté, grâce à l’aide des autorités russes et de Kaspersky Lab.

Retour en 2011 où tout a commencé, lorsque nous avions découvert Lurk. Ce qui avait attiré notre attention, est que ce cheval de Troie anonyme qui utilisait un logiciel de banque à distance pour détourner de l’argent fut qualifié par notre système interne de détection de programmes malveillants comme étant un cheval de Troie pouvant être utilisé pour beaucoup de choses, sauf pour voler de l’argent. On avait donc décidé d’y regarder de plus près.

Les recherches n’avaient rien donné, le cheval de Troie ne laissait rien présager. Cependant, les attaques continuaient, et nos analystes avaient de plus en plus d’échantillons à analyser.

Pendant ce temps, nous en avions beaucoup appris sur Lurk. Par exemple, il possédait une structure modulaire. Lorsque le cheval de Troie détectait qu’il avait infecté un ordinateur avec un logiciel de banque à distance installé, il téléchargeait la charge utile malveillante, qui était responsable de voler de l’argent. C’est la raison pour laquelle notre système n’avait pas identifié en premier lieu Lurk comme étant un cheval de Troie, puisque la charge utile manquait.

Nous avions aussi découvert que Lurk évitait de laisser des empreintes sur le disque dur, en fonctionnant uniquement sur la mémoire vive des ordinateurs qu’il infectait. Ce qui le rendait plus difficile à détecter. Les créateurs de Lurk utilisaient également le chiffrement ici et là ainsi que l’offuscation. Leurs serveurs de commande et contrôle étaient hébergés sur des domaines qui avaient été enregistrés avec des fausses données d’enregistrement. Et le logiciel (à la fois Lurk et les charges utiles malveillantes) changeait constamment, en étant adapté spécifiquement pour une banque ou une autre.

Les créateurs de Lurk s’étaient montrés prudents, mais on savait qu’il y avait un groupe de professionnels qui se cachait derrière un tel malware complexe. Cependant, les professionnels restent des humains avant tout, et les humains commettent des erreurs. Ces erreurs nous ont donné des informations nous permettant de trouver les individus à l’origine du cheval de Troie.

Il s’avère que Lurk avait été conçu et développé par une équipe d’environ 15 personnes, bien qu’au moment où elle a été arrêtée, elle comptait 40 membres. Ils avaient deux projets : le malware en lui-même et le botnet utilisé pour sa distribution. Chaque projet disposait de sa propre équipe.

Un groupe de programmeurs avaient développé Lurk, et un groupe de testeurs vérifiaient la façon dont il s’exécutait dans divers environnements. Pour le botnet, il y avait des administrateurs, des opérateurs, des gestionnaires de fonds, et d’autres personnes. Les passeurs d’argent récupéraient du cash sur des distributeurs automatiques, et un chef des passeurs venait ensuite recueillir cet argent.

lurk-structure

La plupart des individus impliqués étaient essentiellement des salariés qui touchaient un revenu. Pour les recruter, les hackers de Luck publiaient des jobs d’été sur des sites d’offres d’emploi, en leur garantissant un travail à distance à temps plein et bien rémunéré. Lors de l’entretien d’embauche, le recruteur demandait aux candidats s’ils avaient des principes moraux stricts. Ceux qui répondaient oui n’avaient pas le poste.

Développer Lurk et maintenir le botnet ne requérait pas seulement beaucoup de personnes, mais également des infrastructures coûteuses, y compris des serveurs, des VPN, et d’autres outils. Après quelques années en activité, l’équipe de Lurk formait une moyenne entreprise en informatique. Et comme beaucoup de sociétés, ils avaient décidé de diversifier leur activité quelque temps après.

Les cybercriminels de Lurk sont aussi à l’origine d’Angler, alias XXX, un des kits d’exploit les plus pointus de sa génération. Dans un premier temps, il avait été conçu comme un outil pour infecter les victimes de Lurk, mais ses créateurs avaient également décidé de vendre Angler à des tiers. Son succès et son invincibilité apparente avaient élevé le groupe à l’origine de Lurk au rang des cybercriminels russes quasi légendaires, ce qui avait donné un bon coup de fouet aux ventes d’Angler sur le marché noir.

Angler était devenu très populaire chez les cybercriminels. Par exemple, il était utilisé pour distribuer les ransomwares CryptXXX et TeslaCrypt.

Mais dès lors qu’ils commencèrent à vendre Angler, leurs jours étaient comptés. La police russe, en collaboration avec Kaspersky Lab, avaient recueilli suffisamment de preuves pour arrêter les membres suspectés du groupe. En juin 2016, l’activité de Lurk avait cessé, suivi d’Angler peu de temps après. Les cybercriminels avaient fini par penser qu’ils ne pouvaient jamais être démasqués en raison des précautions qu’ils prenaient.

Leurs précautions les auront protégés un temps, mais les cybercriminels, aussi astucieux soient-ils, restent des humains. Tôt ou tard, ils trébuchent et font des erreurs, permettant à une bonne équipe d’enquêteurs de les coincer. Cela prend en général beaucoup de temps et d’efforts, mais c’est de cette façon que l’on arrive à rendre justice dans le monde informatique.

Conseils