{"id":18559,"date":"2022-02-18T10:23:09","date_gmt":"2022-02-18T08:23:09","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=18559"},"modified":"2022-02-18T10:26:01","modified_gmt":"2022-02-18T08:26:01","slug":"lurk-cybercrime-inc","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/lurk-cybercrime-inc\/18559\/","title":{"rendered":"Lurk : une soci\u00e9t\u00e9 exemplaire en cybercriminalit\u00e9"},"content":{"rendered":"<p>Le proc\u00e8s des cr\u00e9ateurs du <a href=\"https:\/\/www.kaspersky.fr\/blog\/bye-bye-lurk\/6018\/\" target=\"_blank\" rel=\"noopener\">cheval de Troie bancaire Lurk<\/a> est enfin termin\u00e9. Ils ont \u00e9t\u00e9 interpell\u00e9s lors d\u2019une op\u00e9ration conjointe sans pr\u00e9c\u00e9dent entre plusieurs autorit\u00e9s et nos experts. Les criminels ont \u00e9t\u00e9 arr\u00eat\u00e9s en 2016 mais l\u2019enqu\u00eate et l\u2019affaire tra\u00eenent depuis cinq ans. Ce n\u2019est pas vraiment surprenant puisque le nombre de suspects et de victimes \u00e9taient exceptionnels. Il a fallu un bus entier pour amener tous les membres de Lurk au tribunal, et les dossiers repr\u00e9sentaient 4000 volumes (1 volume = 250 pages). La charge de travail \u00e9tait colossale et exigeait beaucoup de temps. Les suspects ont analys\u00e9 chaque rapport et d\u00e9claration au peigne fin, mais 27 accus\u00e9s ont \u00e9t\u00e9 jug\u00e9s en 2018.<\/p>\n<p>Kaspersky surveillait les activit\u00e9s du groupe depuis 2011. J\u2019ai entendu parler de Lurk pour la premi\u00e8re fois en 2013, lorsque j\u2019ai rejoint Kaspersky. Je me souviens avoir pens\u00e9 : \u00ab\u00a0Attrape-les et tu peux prendre ta retraite. Tu auras fait du bon travail et tu pourras arr\u00eater ta carri\u00e8re.\u00a0\u00bb Par rapport aux cybercriminels habituels, ils \u00e9taient tr\u00e8s sophistiqu\u00e9s, tant sur le plan technique qu\u2019organisationnel. Cela \u00e9tant dit, si je d\u00e9tectais Lurk aujourd\u2019hui, je serai certainement moins impressionn\u00e9 et je les verrais simplement comme un groupe qui a adopt\u00e9 d\u2019excellentes m\u00e9thodes.<\/p>\n<p>Le verdict du tribunal est une bonne excuse pour faire une r\u00e9trospective et comprendre pourquoi leur activit\u00e9 criminelle \u00e9tait si sp\u00e9ciale.<\/p>\n<h2>Leur tactique d\u2019infection<\/h2>\n<p>Nous devrions commencer par le vecteur d\u2019attaque. Les cybercriminels ont utilis\u00e9 la m\u00e9thode de <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/watering-hole\/\" target=\"_blank\" rel=\"noopener\">l\u2019attaque de point d\u2019eau<\/a>, en publiant une page qui redirigeait vers un kit d\u2019exploit sur plusieurs sites d\u2019entreprises m\u00e9diatiques. Cette m\u00e9thode n\u2019\u00e9tait pas nouvelle mais, dans ce cas, pour que l\u2019ordinateur soit infect\u00e9, la victime (toujours un comptable) devait consulter le site pendant sa pause repas (et seulement \u00e0 ce moment-l\u00e0). Le kit d\u2019exploit t\u00e9l\u00e9chargeait un cheval de Troie immat\u00e9riel sur l\u2019ordinateur qui n\u2019\u00e9tait utilis\u00e9 qu\u2019\u00e0 des fins d\u2019espionnage.<\/p>\n<p>Les cybercriminels \u00e9tudiaient d\u2019abord quels programmes s\u2019ex\u00e9cutaient sur la machine, s\u2019il y avait des traces de logiciels bancaires ou de programmes de recherche, et quels sous-r\u00e9seaux le dispositif utilisait. Les r\u00e9seaux bancaires et gouvernementaux \u00e9taient l\u2019objectif principal. En d\u2019autres termes, ils d\u00e9terminaient si l\u2019ordinateur \u00e9tait int\u00e9ressant et savaient exactement qui ils voulaient infecter.<\/p>\n<p>Le malware principal n\u2019\u00e9tait t\u00e9l\u00e9charg\u00e9 que si l\u2019ordinateur \u00e9tait vraiment fascinant. Dans le cas contraire, ils volaient tous les mots de passe qu\u2019ils trouvaient et supprimaient le malware.<\/p>\n<h2>La communication avec le C&amp;C<\/h2>\n<p>Le processus d\u2019\u00e9change des informations entre le cheval de Troie et le <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/command-and-control-server-cc\/\" target=\"_blank\" rel=\"noopener\">serveur de commande et contr\u00f4le (C&amp;C)<\/a> \u00e9tait tout aussi remarquable. L\u2019adresse du C&amp;C \u00e9tait cod\u00e9e en dur dans la plupart des chevaux de Troie de cette \u00e9poque. Les auteurs indiquaient simplement le nom du domaine, ce qui leur permettait, le cas \u00e9ch\u00e9ant, de modifier l\u2019adresse IP du serveur\u00a0: ainsi, s\u2019ils perdaient le contr\u00f4le de l\u2019adresse principale du C&amp;C, ils pouvaient la remplacer par une de secours. Il faut reconna\u00eetre que ce m\u00e9canisme de s\u00e9curit\u00e9 \u00e9tait assez primitif. Lurk \u00e9tait tr\u00e8s diff\u00e9rent \u00e0 cet \u00e9gard\u00a0: le groupe utilisait une technique digne d\u2019un roman d\u2019espionnage.<\/p>\n<p>Avant d\u2019ouvrir une session de communication, Lurk calculait l\u2019adresse du serveur C&amp;C. Les cybercriminels allaient sur Yahoo et recherchait le cours d\u2019une action d\u2019une entreprise en particulier\u00a0; McDonald\u2019s lors de notre \u00e9tude. Selon la valeur de l\u2019action \u00e0 un moment pr\u00e9cis, ils g\u00e9n\u00e9raient un nom de domaine et y acc\u00e9daient. Ainsi, pour contr\u00f4ler le cheval de Troie, les cybercriminels consultaient le cours d\u2019une action \u00e0 ce moment-l\u00e0 et enregistraient le nom du domaine en s\u2019inspirant de ces chiffres. En d\u2019autres termes, il \u00e9tait impossible de savoir \u00e0 l\u2019avance quel serait le nom de domaine du serveur C&amp;C.<\/p>\n<p>Cette situation soul\u00e8ve une question l\u00e9gitime\u00a0: si l\u2019algorithme \u00e9tait int\u00e9gr\u00e9 dans le cheval de Troie, qu\u2019est-ce qui emp\u00eachait un chercheur de g\u00e9n\u00e9rer une s\u00e9quence similaire, d\u2019enregistrer un nom de domaine avant les cybercriminels et d\u2019attendre que le cheval de Troie s\u2019y connecte\u00a0? Malheureusement, les cr\u00e9ateurs de Lurk avaient pris des pr\u00e9cautions. Ils utilisaient une <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/asymmetric-encryption\/\" target=\"_blank\" rel=\"noopener\">cryptographie asym\u00e9trique<\/a>. Ainsi, une paire de cl\u00e9s \u00e9tait g\u00e9n\u00e9r\u00e9e, et le bot, ayant acc\u00e8s au serveur C&amp;C, pouvait utiliser cette cl\u00e9 publique pour v\u00e9rifier si elle appartenait vraiment aux propri\u00e9taires, notamment en analysant la signature num\u00e9rique. C\u2019est impossible \u00e0 faire sans la cl\u00e9 secr\u00e8te. Seul le propri\u00e9taire de la cl\u00e9 secr\u00e8te peut recevoir les demandes faites par les bots et \u00e9mettre des ordres. Aucun chercheur externe ne peut imiter le serveur C&amp;C. \u00c0 cette \u00e9poque, les autres cybercriminels n\u2019utilisaient pas une telle m\u00e9thode, et si nous d\u00e9tections une protection par cl\u00e9 secr\u00e8te sur le serveur, nous \u00e9tions s\u00fbrs qu\u2019il s\u2019agissait d\u2019une attaque Lurk.<\/p>\n<h2>Une infrastructure organis\u00e9e<\/h2>\n<p>La mise en place des processus de Lurk m\u00e9rite une mention particuli\u00e8re. Si les membres d\u2019autres groupes de cybercriminels n\u2019\u00e9taient que des utilisateurs quelconques de forums (une personne programmait, une autre encaissait et une derni\u00e8re coordonnait), l\u2019organisation de Lurk, au contraire, ressemblait \u00e0 une v\u00e9ritable entreprise informatique. Il est plus juste de comparer cette organisation avec une grande entreprise de logiciels qu\u2019avec un groupe de cybercriminels. De plus, au niveau organisationnel, Lurk est encore un mod\u00e8le \u00e0 suivre pour de nombreux groupes.<\/p>\n<p>Lurk \u00e9tait dirig\u00e9 par de vrais professionnels, probablement avec beaucoup d\u2019exp\u00e9rience en d\u00e9veloppement, qui avaient mis en place une infrastructure tr\u00e8s organis\u00e9e avec des responsables et une \u00e9quipe de ressources humaines. \u00c0 la diff\u00e9rence des autres gangs, les employ\u00e9s avaient un salaire fixe, et ne recevaient pas seulement un pourcentage des b\u00e9n\u00e9fices. Ils organisaient m\u00eame des r\u00e9unions hebdomadaires, ce qui \u00e9tait inimaginable \u00e0 l\u2019\u00e9poque. Pour faire simple, cette entreprise malveillante est remarquable.<\/p>\n<p>Ils avaient m\u00eame un syst\u00e8me clairement structur\u00e9 suivant les r\u00f4les lorsqu\u2019il s\u2019agissait de restreindre l\u2019acc\u00e8s aux informations. Apr\u00e8s leur d\u00e9tention, certains membres du groupe ont lu les conversations de leurs responsables et se sont alors rendu compte qu\u2019ils n\u2019\u00e9taient pas trait\u00e9s de fa\u00e7on \u00e9quitable.<\/p>\n<p>Ils ont minutieusement document\u00e9 toutes leurs activit\u00e9s, beaucoup plus que certaines entreprises informatiques le font de nos jours. \u00c9videmment, ces informations ont \u00e9t\u00e9 d\u2019une aide pr\u00e9cieuse pour l\u2019enqu\u00eate. C\u2019est peut-\u00eatre aussi ce qui a entra\u00een\u00e9 leur chute\u00a0: plus votre approche est syst\u00e9matique, plus le suivi est facile. Voici quelques exemples.<\/p>\n<h3>Les bases de connaissances<\/h3>\n<p>Le groupe Lurk a maintenu une base de connaissances d\u00e9taill\u00e9es, clairement divis\u00e9e selon les projets. Seulement un cercle restreint de personnes avait acc\u00e8s \u00e0 chaque projet, et les participants d\u2019un projet ne connaissaient pas les activit\u00e9s d\u2019un autre. L\u2019ampleur de chaque projet variait beaucoup puisqu\u2019ils pouvaient \u00eatre tr\u00e8s techniques ou simplement organisationnels. Les projets techniques se divisaient en plusieurs sous-niveaux. Par exemple, les d\u00e9veloppeurs d\u2019un cheval de Troie n\u2019avaient acc\u00e8s qu\u2019\u00e0 certains sujets des bases de connaissances\u00a0: comment d\u00e9jouer l\u2019antivirus, comment faire un test, etc. Il y avait aussi des bases de donn\u00e9es de s\u00e9curit\u00e9 op\u00e9rationnelle, similaires aux r\u00e8glements de s\u00e9curit\u00e9 des grandes entreprises. Ces documents expliquaient notamment aux employ\u00e9s de Lurk comment ils devaient configurer leurs postes de travail pour ne pas \u00eatre d\u00e9tect\u00e9s et comment ils devaient utiliser les outils d\u2019anonymisation.<\/p>\n<h3>L\u2019acc\u00e8s aux informations<\/h3>\n<p>Pour avoir acc\u00e8s aux ressources informatives de Lurk, les cybercriminels devaient se connecter \u00e0 un serveur en utilisant plusieurs VPN. Ce n\u2019est qu\u2019\u00e0 ce moment-l\u00e0 qu\u2019ils avaient acc\u00e8s au gestionnaire du bot. Ensuite, chaque employ\u00e9 obtenait son propre certificat et un compte avec diff\u00e9rents droits. En d\u2019autres termes, cette organisation ressemblait \u00e0 celle de n\u2019importe quel r\u00e9seau d\u2019entreprise mis en place pour le t\u00e9l\u00e9travail. De mani\u00e8re g\u00e9n\u00e9rale, leur organisation aurait pu \u00eatre celle d\u2019une entreprise mod\u00e8le s\u2019ils avaient aussi utilis\u00e9 la 2FA.<\/p>\n<p>Physiquement, tous les serveurs se trouvaient dans diff\u00e9rents centres de donn\u00e9es et dans diff\u00e9rents pays. Lorsque vous en atteigniez un au niveau virtuel en utilisant un VPN, vous ne connaissiez pas la vraie adresse IP du serveur. C\u2019est principalement \u00e0 cause de \u00e7a qu\u2019il a \u00e9t\u00e9 aussi difficile de localiser le groupe.<\/p>\n<h3>Le d\u00e9veloppement<\/h3>\n<p>Le groupe Lurk avait ses propres r\u00e9serves de code source, des proc\u00e9dures automatiques de construction et de test en plusieurs \u00e9tapes, un serveur de production et un serveur de d\u00e9veloppement. Ils cherchaient essentiellement \u00e0 cr\u00e9er un produit logiciel s\u00e9rieux\u00a0: ils pouvaient \u00e0 tout moment produire, tester et d\u00e9velopper la version d\u2019un cheval de Troie.<\/p>\n<p>\u00c0 cette \u00e9poque, le serveur C&amp;C d\u2019un cheval de Troie banal pouvaient recevoir les demandes des bots, les enregistrer dans une base de donn\u00e9es et fournir un panneau administrateur pour les g\u00e9rer. Tout ce processus a \u00e9t\u00e9 implant\u00e9 de fa\u00e7on efficace dans une seule page. Lurk a s\u00e9par\u00e9 le panneau administrateur et la base de donn\u00e9es, alors que le m\u00e9canisme d\u2019envoi des r\u00e9ponses aux bots \u00e9tait compl\u00e8tement cach\u00e9 par un service interm\u00e9diaire.<\/p>\n<h3>Les kits d\u2019exploit<\/h3>\n<p>Lurk avait trois kits d\u2019exploit, tous avec un nom diff\u00e9rent : un interne, invent\u00e9 par les d\u00e9veloppeurs ; un pour les clients et les associ\u00e9s ; et un troisi\u00e8me donn\u00e9 par les chercheurs. Les auteurs de Lurk utilisaient leurs propres d\u00e9veloppements mais en plus ils vendaient des kits d\u2019exploit \u00e0 d\u2019autres cybercriminels. De plus, les versions propos\u00e9es aux \u00ab\u00a0associ\u00e9s\u00a0\u00bb avaient un code diff\u00e9rent. Il s\u2019agissait clairement d\u2019une tentative de dissimulation pour faire croire qu\u2019un autre kit d\u2019exploit tr\u00e8s populaire \u00e9tait actif.<\/p>\n<h2>La chute de Lurk<\/h2>\n<p>Au bout du compte, toutes les astuces invent\u00e9es par les cybercriminels n\u2019ont \u00e9t\u00e9 d\u2019aucune aide. La plupart des membres du groupe ont \u00e9t\u00e9 interpell\u00e9s, mais seulement une fois que le mal avait \u00e9t\u00e9 fait. Tout au long de leur carri\u00e8re, les cybercriminels ont r\u00e9ussi \u00e0 voler pr\u00e8s de 45 millions de dollars. Nos experts ont \u00e9tudi\u00e9 leurs m\u00e9thodes pendant pr\u00e8s de six ans ce qui, cela dit en passant, nous a apport\u00e9 une exp\u00e9rience pr\u00e9cieuse dont nous nous servons encore aujourd\u2019hui pour vaincre la cybercriminalit\u00e9.<\/p>\n<p>Si vous voulez savoir quelles conclusions les entreprises peuvent tirer de cette histoire, nous vous invitons \u00e0 lire <a href=\"https:\/\/www.kaspersky.com\/blog\/lurk-lessons\/5956\/\" target=\"_blank\" rel=\"noopener nofollow\">cet article<\/a>. Une analyse technique d\u00e9taill\u00e9e est \u00e9galement disponible sur <a href=\"https:\/\/securelist.com\/the-hunt-for-lurk\/75944\/\" target=\"_blank\" rel=\"noopener\">Securelist<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Voici ce dont les chercheurs se souviennent le plus du groupe Lurk. <\/p>\n","protected":false},"author":2701,"featured_media":18560,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[754,266,570,4261],"class_list":{"0":"post-18559","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-cheval-de-troie-bancaire","11":"tag-enquete","12":"tag-justice","13":"tag-menaces-bancaires"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/lurk-cybercrime-inc\/18559\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/lurk-cybercrime-inc\/23908\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/lurk-cybercrime-inc\/19394\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/lurk-cybercrime-inc\/9752\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/lurk-cybercrime-inc\/26146\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/lurk-cybercrime-inc\/24107\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/lurk-cybercrime-inc\/23917\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/lurk-cybercrime-inc\/26921\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/lurk-cybercrime-inc\/26465\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/lurk-cybercrime-inc\/32377\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/lurk-cybercrime-inc\/10523\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/lurk-cybercrime-inc\/43683\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/lurk-cybercrime-inc\/19008\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/lurk-cybercrime-inc\/15804\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/lurk-cybercrime-inc\/28161\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/lurk-cybercrime-inc\/32446\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/lurk-cybercrime-inc\/28118\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/lurk-cybercrime-inc\/24829\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/lurk-cybercrime-inc\/30251\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/lurk-cybercrime-inc\/30030\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/menaces-bancaires\/","name":"menaces bancaires"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18559","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2701"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=18559"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18559\/revisions"}],"predecessor-version":[{"id":18565,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18559\/revisions\/18565"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/18560"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=18559"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=18559"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=18559"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}