Une concurrence acharnée dès la création

La concurrence commence dès l’étape de la création des kits d’exploits. Les pirates font appel à des graphistes pour bénéficier d’un logo et d’une interface utilisateur les plus attractifs possibles. Pour la création d’un malware ou d’un kit plus perfectionné, les groupes criminels tentent de recruter les codeurs (programmeurs) les plus performants. Ceux-ci à leur tour se livrent à une concurrence acharnée, ce qui provoque parfois la fuite d’informations de produits concurrents, voire des codes sources sur des forums ouverts à tous.

Logos de différents kits d’exploits (Kahu Security)

Page d’accueil du « programme partenaire » (associé) dogmamillions.com

Une concurrence fratricide entre groupes de pirates

Devenus de véritables salons professionnels de la cybercriminalité, les forums de « black market » comportent de vraies campagnes de désinformation. Récemment un « promoteur » du malware Citadel (cheval de Troie perfectionné qui cible les utilisateurs de services bancaires en ligne) a été banni d’un forum suite à la plainte d’un acheteur qui l’a accusé de « devenir corrompu à cause de l’argent gagné grâce à ce programme »[1] malveillant… Nous ne saurons jamais s’il s’agissait d’une opération de déstabilisation de concurrents ou si le « service après-vente » était devenu vraiment exécrable.

Dans la « littérature hacker » qui commence à émerger, d’anciens cybercriminels parlent d’ailleurs de cette peur qui les poursuit quotidiennement ; Dans le livre « Confidence d’un cardeur » sorti en Russie en 2010, un ancien pirate raconte à quel point il est difficile de trouver un complice sur les forums, la plupart essayant d’arnaquer ses associés pour s’emparer du magot.

Parfois, les cybercriminels confirmés piègent des apprentis pirates en leur proposant des numéros de cartes bancaires générés automatiquement [2]. Mais des « sections » où les utilisateurs peuvent indiquer les pseudos ou d’autres informations concernant les escrocs (d’escrocs) existent sur les forums underground.

La concurrence est telle qu’il existe même des codes malveillants dotés de fonctionnalités permettant de détecter les logiciels eux-mêmes malveillants déjà installés et de les supprimer sur des ordinateurs compromis !

Au même titre qu’une entreprise, le « service client » est primordial : exemple avec Blackhole

Les « créateurs » des codes malveillants n’ont pas de service marketing formellement établi, mais ils procèdent selon les préceptes du marketing pour promouvoir et vendre leurs kits d’exploits ou des malwares. Pour attirer les acheteurs, ils mettent en avant la disponibilité 24h/24 du support client ou les réductions importantes faites aux acheteurs « fidèles ». Ils font également attention à la façon dont ils concluent l’affaire sur les forums. Les commentaires sont également sujets à une attention, voire manipulation, particulière de la part de ces fournisseurs de produits et services : L’avis positif d’un utilisateur a, par exemple, beaucoup d’influence.

« J’ai acheté la mise à jour. Tout fonctionne mieux. L’auteur a tout installé et expliqué. Je suis content, tout va bien. »

L’aboutissement sur l’échelle de professionnalisation de la cybercriminalité a été la sortie au mois d’octobre 2012 de la deuxième version du kit d’exploits Blackhole, le produit le plus abouti et actuellement le plus utilisé par les cybercriminels. En effet, il est absolument partout.[3] Les créateurs de cet outil perfectionné, permettant de générer des profits pour lui-même et ses clients, rappellent ainsi ce qu’ils ont amélioré et soulignent fièrement avoir implémenté toutes les suggestions des clients. Les mises à jour sont d’ailleurs gratuites pendant la durée de la licence.

Extrait de la présentation de Blackhole : http://pastebin.com/DjGi7iyf

« Nous sommes ravis de vous présenter la nouvelle version du pack d’exploits. Depuis plus de 2 ans d’existence de notre projet, l’ancien « moteur » a été très utilisé et les entreprises de sécurité le repèrent de plus en plus souvent comme un BlackHole ou le définissent comme un malware. Dans la nouvelle version nous avons tout réécrit de zéro, non seulement la partie de distribution, mais aussi l’interface d’administration. »

Dans le monde économique moderne, les entrepreneurs respectent certaines limites morales ou éthiques. Les « entrepreneurs » du monde cybercriminel ne s’embarrassent pas de ce genre de considérations et ont comme seul point de mire les retombées financières de leurs opérations. Les équipes intervenant à chaque étape, de la conception à la mise en service et à l’exploitation des logiciels malveillants, sont spécialisées, hiérarchisées et cloisonnées, à l’image des organisations criminelles. Ce système a fait ses preuves et fonctionne à plein régime, ce qui laisse peu de chance de le voir disparaître à moyen terme.

[1] Citadel developer banned from crime forum :
http://www.scmagazine.com.au/News/326175,citadel-developer-banned-from-crime-forum.aspx

[2] Cybercriminals entice potential cybercriminals into purchasing bogus credit cards data :
http://blog.webroot.com/2012/12/18/cybercriminals-entice-potential-cybercriminals-into-purchasing-bogus-credit-cards-data/

[3] “Blackhole : Today’s malware market leader” : http://www.sophos.com/en-us/security-news-trends/reports/security-threat-report/blackhole-exploit.aspx