Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

IBM : Le logiciel malveillant Dyre prend ses vacances d’été en Espagne

juillet 2015 par IBM X-Force Security

La nouvelle configuration du cheval de Troie malveillant prend d’assaut 17 banques espagnoles

Quoi de neuf ?

Alors que cet été, les européens se prélassent le long des plages d’Espagne, les cybercriminels qui ont mis au point ce dernier logiciel malveillant très réussi ne prennent aucune pause. En fait, ils font monter la pression et ont jeté leur dévolu sur 17 banques espagnoles ainsi que les filiales de plusieurs banques européennes basées en Espagne. Les chercheurs en sécurité d’IBM X-Force ont pu analyser un nouveau fichier de configuration du cheval de Troie Dyre et suivre sa propagation liée à cette nouvelle version. Il s’agit de la première configuration qui cible un si grand nombre de banques espagnoles. Sur la liste des victimes des versions précédentes ne figuraient que trois ou cinq banques établies en Espagne, ce qui constituait probablement un moyen de tester le logiciel avant de passer à une phase plus agressive.

L’analyse révèle que les développeurs de Dyre ont élargi les capacités et la portée de ce logiciel malveillant en mettant à jour des injections web correspondant aux nouvelles banques qu’ils ciblent en Espagne. En plus de ses objectifs espagnols, le gang Dyre voit des opportunités dans d’autres pays hispanophones au-delà de l’Espagne, comme le Chili, la Colombie et le Venezuela. Ceci est peu surprenant étant donné que l’espagnol est la seconde langue la plus parlée au monde.

Dyre n’est pas nouveau en Europe. Il vise déjà les banques sur la totalité du continent européen, excluant uniquement la Russie et la région de l’ancienne Union soviétique, ce qui n’est pas surprenant. L’’Espagne est classée troisième en matière de taux d’infection de Dyre en Europe, après le Royaume-Uni et la France.

Quelques chiffres : les entreprises espagnoles ont enregistré des pertes de 14 milliards d’euros en 2014 en raison de la cybercriminalité. Les nouvelles récentes en matière de cybercriminalité en Espagne font état de l’arrestation d’un gang qui a réussi à amasser 2 millions d’euros grâce à des appels frauduleux depuis des téléphones volés et des cartes SIM.

IBM a communiqué aux banques ciblées les nouvelles informations collectées concernant Dyre afin de les aider à se préparer et à se protéger contre ces risques qui s’intensifient.

À propos de Dyre

Dyre, qui a été nommé d’après son code comportant la mention « Je suis Dyreza », a commencé comme un simple projet RAT (Remote Acces Trojan) à la mi-2014. Bien qu’il ait été seulement utilisé pour subtiliser des informations d’identification cryptées, il a depuis rapidement évolué, de façon agressive, changeant non seulement de forme technique mais aussi ses méthodes criminelles. Aujourd’hui, Dyre est un cheval de Troie bancaire explosif qui oblige les professionnels de la sécurité et ses victimes à un assainissement permanent.

En raison de ses riches fonctionnalités et de ses mises à jour constantes, qui ont été conçues pour échapper à la détection par les anti-virus et les mécanismes de sécurité statique, Dyre est actuellement l’un des codes actif malveillant les plus avancés qui soient. Et tandis que Dyre en lui-même est intéressant d’un point de vue technique, le groupe caché derrière lui représente actuellement un des plus importants sujets d’études pour les professionnels de la cybercriminalité.

Le gang de cybercriminels cachés derrière Dyre n’est certainement pas composé d’amateurs. De par son modèle d’infrastructure, sa main-d’œuvre, en passant par sa connaissance des sites bancaires et des systèmes d’authentification, ce groupe est composé de membres expérimentés et avertis.

L’équipe de Dyre est un « gang privé » fermé. Cette dénomination est donnée aux groupes de cybercriminels qui possèdent les logiciels malveillants qu’ils développent et conservent pour eux. Ils n’échangent pas d’informations lors de conseils frauduleux souterrains, ne partagent pas leurs connaissances, et ne posent pas de questions. Ils ne vendent pas de logiciels malveillants, et sont extrêmement prudents quant à l’ajout de nouveaux membres à leur gang.

Dyre est lié à un certain nombre de groupes d’exploitation de logiciels malveillants connus. Le gang a des liens avec le téléchargement Upatre, le spam Cutwail botnet, le kit d’exploitation RIG, et a déjà partagé ses serveurs de communication avec le cheval de Troie Feodo (un rejeton Bugat réalisé en Russie).

Les attaques cybercriminelles ciblées de Dyre

Depuis ses débuts, le gang de Dyre n’est pas un gagne petit. Cette équipe vise haut. Et par haut, nous voulons dire qui cible l’argent des entreprises, au moins un demi-million de dollars à un moment donné.

Les informations concernant l’opération initiale de Dyre « Broad-stroke » ont été rendues publiques à la mi-Juin 2014 par les laboratoires PhishMe. Gardez à l’esprit que lorsqu’un logiciel malveillant a été découvert, cela fait déjà quelques mois qu’il est lâché dans la nature. IBM sécurité a commencé à communiquer sur Dyre plus de trois mois après qu’il ait ciblé les comptes Salesforce.com des principales banques américaines et ait déjà récolté leurs informations clients.

À l’époque, beaucoup pensaient que Dyre collectait les données pour les monnayer à des fins d’espionnage de l’entreprise, mais quand la campagne Dyre Wolf a été découverte par IBM début 2015, les choses sont devenues beaucoup plus claires : il s’agissait d’attaques frauduleuses ponctuelles et ciblées.

La fraude ciblée représente un lien entre les attaques APT et les attaques frauduleuses financières. Les criminels commencent par obtenir des renseignements sur l’organisation qu’ils vont cibler, ils investissent beaucoup de temps et d’attention à la violation de ces systèmes, et préparent le terrain pour frauder avant de frapper en effectuant un très important virement illégal d’argent.

Avec ce nouveau fichier de configuration spécifique à l’Espagne, les banques espagnoles et leurs entreprises clientes courent un risque plus élevé de souffrir d’attaques frauduleuses ponctuelles et ciblées. Comment ces attaques fonctionnent-elles ?

Pour lancer ces attaques frauduleuses ponctuelles et ciblées, Dyre déploie une « équipe SWAT » dans ses rangs. L’équipe spéciale manœuvre soigneusement ses opérations de fraude en s’appuyant sur des appels téléphoniques frauduleux et des compétences qualifiées en ingénierie sociale dans la langue et l’accent précis du pays visé et en utilisant le langage de l’entité escroquée que l’utilisateur présume être sa banque. La fraude peut être suivie par une attaque DDoS pour s’assurer que l’entreprise soit incapable de se connecter de nouveau au compte, ou soit occupée à essayer de comprendre comment repousser les assauts.

Dyre, contrairement à la plupart des logiciels malveillants avancés de qualité similaire, est exploité par ce qui semble être un groupe très organisé. Le botnet global est divisé en sections, les campagnes sont marquées par les dates de lancement, et les régions sont divisées en un certain nombre de logiciels malveillants différents.

Un petit nombre de "travailleurs" semble être dédié à chaque zone afin de maximiser les profits de chaque compte piraté.

Les « travailleurs » qui opèrent quotidiennement pour commettre des fraudes Dyre se concentrent sur les transferts du lundi au vendredi, du matin au soir et selon les fuseaux horaires américains. Les week-ends marquent souvent un temps d’arrêt.

Au meilleur moment de la journée, pour réaliser des attaques frauduleuses, Dyre dispose évidemment d’une équipe criminelle « SWAT » qui se consacre à la fraude de grande ampleur : les comptes bancaires des entreprises et les transferts d’une valeur très élevée. Nous parlons de transferts ponctuels qui peuvent commencer à 500 000 dollars, mais peuvent aller jusqu’à 1,5 million de dollars à un moment donné. Parce que ces attaques frauduleuses ponctuelles se produisent au milieu d’autres campagnes plus petites, elles nécessitent des capacités très pointues et une attention particulière de tous les instants. Nous pensons qu’il existe une séparation claire des tâches au sein des équipes d’attaques. Cette équipe « SWAT » Dyre est probablement la même faction qui est derrière les attaques Dyre de type Wolf. Dans ces attaques spécifiques et ciblées, Dyre s’intéresse aux plus grands comptes des banques, escroquant les entreprises qui réalisent beaucoup de mouvements d’argent pour des biens ou des services. Pensez aux produits pharmaceutiques, au pétrole et au gaz, aux fabricants – aux entreprises qui font des affaires routinières à l’étranger et qui payent normalement des sommes importantes dans les transferts SWIFT vers des pays comme la Chine.

Ceci n’est certainement pas ce que nous voyons avec des logiciels malveillants de type « commercial » comme Zeus et ses variations, ni avec le code partagé comme Bugat et Dridex, ou encore des codes divulgués, même avancés comme Tinba et Neverquest.

Géographiquement parlant, les équipes Dyre sont susceptibles d’être situées en Ukraine, en Roumanie et en Russie, si l’on se base sur le modèle des heures de travail et le fuseau horaire (GMT +2, UTC +3), et sur le fait que, tel que rapporté par Symantec, plus de 80 % de tous les serveurs Dyre proviennent d’adresses IP russes et ukrainiennes.

Qu’est ce qui rend Dyre particulier ?

Bien que Dyre ait commencé avec des fonctions de malware simples, il est maintenant un puissant voleur de données et un outil d’injection des navigateurs. Les chercheurs d’IBM Security X-Force ont observé continuellement son évolution. Son exécutable est mis à jour régulièrement de quelques bits, parfois toutes les semaines. Sa configuration est adaptée à la région visée, principalement l’Europe et les Etats-Unis.

Les développeurs de Dyre suivent de près le projet avec des couches encryptées, des couches de sortie, des fonctions anti-recherche, des pièges anti-bac à sable, tout cela est développé et mis à jour dans le but de maintenir Dyre hors de vue. En fait, pour être sûr que ce malware continue à produire une importante récolte financière grâce aux vols effectués.

Les schémas d’injection temps réel de Dyre

La puissance de Dyre repose sur ses capacités à manipuler à la volée la façon dont le navigateur fonctionne et cela de manière sélective, en fonction de la banque visée.
Dès l’origine, les opérateurs de Dyre ont été très consciencieux pour les tâches envoyant la victime sur de fausses pages web préparées à l’avance. Pour ce faire, ils ont littéralement copié les pages de connexion et les suivantes, ce que font les attaques par « pharming ». Ils maintiennent la connexion SSL active avec la banque, dans le seul but d’apparaître légitime vis à vis de l’utilisateur et des outils de sécurité de la banque, montrant que la connexion sécurisée est toujours présente.
Cette méthode devait prendre beaucoup de temps car elle a changé pour devenir une injection du navigateur. Ce qui rend Dyre différent est le fait que la configuration de ces injections n’est pas stockée localement sur le PC infecté pour être utilisée quand besoin est par le malware. L’injection de Dyre est pilotée en temps réel et dynamiquement par son serveur web d’injection, ce en fonction de l’URL de chaque banque.
Cette méthode permet à Dyre de manipuler la page présentée à la victime de manière plus contrôlée, et bien sûr de conserver ses schémas autant masqués que possible des yeux des professionnels de la sécurité.
Des découvertes récentes à propos de la tactique de Dyre ont été publiées par le chercheur Bryan Campbell, Analyste en chef du SOC de Fujitsu, qui blogue sur les malwares utilisant des routeurs exploités pour libérer les communications avec le botnet. Durant un chat en ligne avec Campbel, nous avons théorisé sur la question de l’utilisation de cette méthode par Dyre. La réponse à la question « pour quelle raison ? » semble simple : Dyre a trouvé un moyen aisé de mettre la main sur ces routeurs et les utilise comme couche supplémentaire pour masquer son trafic déjà obscur grâce à son schéma de communication.
Du fait de sa configuration, Dyre gère un serveur dédié pour son trafic d’injection web, et sépare ceux des C&C et ceux des exfiltrations de données. Pour garder son butin confidentiel et pour ne pas apparaître sur les listes noires, Dyre utilise I2P pour anonymiser ses connections. Dyre utilise DGA (Domain Generation Algorithm) pour être certain que ses bots puissent toujours passer par une ressource qui change de façon dynamique.

Statut des menaces

Concernant la prolifération de Dyre ces derniers mois, les données en possession d’IBM montrent que Dyre est classé second derrière Neverquest, un malware « commercial » largement répandu. Il est intéressant de constater que Dyre, cheval de Troie « privé », est classé second parmi les cyber-attaques les plus prolifiques.

Les campagnes d’infections par Dyre montrent des pointes d’activité cycliques caractéristiques de la façon dont le gang propage son malware à de nouveaux terminaux et machines.
D’après la nomenclature interne à Dyre, les identifiants de campagne intégrent le mois et le jour de leur lancement, les campagnes de spam sont lancées deux à trois fois par semaine, et ce dans différents pays.

Et après ?

En se basant sur l’observation des campagnes précédentes de Dyre, bien connues de l’équipe IBM X-Force, nous pensons que Dyre va porter une attention particulière au territoire Espagnol. Typiquement par des infections générées par des emails incluant un malware permettant d’installer Dyre par download (via Upatre). Le sujet le plus commun utilisé par Dyre pour spammer est la notification de taxes, de factures ou de fausses notices poussant les utilisateurs à ouvrir le fichier attaché lançant Upatre, qui appellera et lancera Dyre. Les campagnes ont pour but d’augmenter le niveau d’infection d’un pays et donc d’augmenter les transactions frauduleuses.

Nos experts recommandent aux banques d’alerter leurs clients et de rafraîchir la sécurité de leurs sites web. Les banques doivent demander à leurs clients de leur faire part des emails suspects qu’ils ont reçu et de travailler avec leur(s) fournisseur(s) anti-fraude pour faire baisser autant que possible leur niveau de risque.

Les équipes IBM Emergency Response Services et IBM Trusteer ont toutes deux travaillé avec des clients pour analyser et stopper des attaques Dyre Wolf et peuvent aider les banques souhaitant mieux maîtriser ces menaces à hauts risques.




Voir les articles précédents

    

Voir les articles suivants