Fermer

mai 23, 2024

La police néerlandaise a retracé un vol de crypto jusqu’à l’un des pires botnets au monde

La police néerlandaise a retracé un vol de crypto jusqu’à l’un des pires botnets au monde


Après des années passées à ravager les serveurs informatiques pour escroquer des millions de dollars, les opérateurs du célèbre botnet Ebury étaient tombés dans l’ombre en 2021. Soudain, ils ont réapparu en trombe.

Les nouvelles preuves ont fait surface lors d’une enquête policière aux Pays-Bas. UN crypto-monnaie le vol avait été signalé à la National High Tech Crime Unit (NHTCU) des Pays-Bas. Sur le serveur de la victime, les cyberflics ont trouvé un ennemi familier : Ebury.

La découverte a révélé une nouvelle cible pour le malware. Ebury s’était diversifié en volant des portefeuilles Bitcoin et des détails de cartes de crédit.

Le NHTCU a demandé l’aide de ESETun Slovaque la cyber-sécurité ferme. Cette demande rouvre un dossier sur lequel Marc-Etienne Léveillé enquête depuis plus d’une décennie.

Le <3 de la technologie européenne

Les dernières rumeurs sur la scène technologique européenne, une histoire de notre sage vieux fondateur Boris et un art de l’IA discutable. C’est gratuit, chaque semaine, dans votre boîte de réception. S’inscrire maintenant!

En 2014, le chercheur d’ESET avait co-écrit un livre blanc sur les opérations du botnet. Il a qualifié Ebury de « porte dérobée Linux la plus sophistiquée jamais vue » par son équipe.

Les cybercriminels utilisent Ebury comme une puissante porte dérobée et un voleur d’identifiants. Après avoir pénétré un serveur, le botnet peut également déployer d’autres logiciels malveillants, rediriger les visiteurs Web vers des publicités frauduleuses et exécuter un trafic proxy pour envoyer du spam. Selon des responsables américains, l’opération a généré frauduleusement des millions de dollars de revenus.

« C’est très bien fait et ils ont réussi à rester sous le radar pendant tant d’années », a déclaré Léveillé à TNW.

Un an après la publication de l’article original d’ESET, un opérateur présumé d’Ebury a été arrêté en Finlande. Il s’appelait Maxim Senakh. Les autorités finlandaises ont ensuite extradé le citoyen russe vers les États-Unis.

L’homme de 41 ans a finalement plaidé coupable à un ensemble réduit d’accusations de fraude informatique. En 2017, il a été condamné à près de quatre ans de prison.

Dans un communiqué de pressele ministère américain de la Justice dit Ebury avait infecté « des dizaines de milliers » de serveurs à travers le monde. Et pourtant, cela ne représentait qu’une fraction du total.

Bonjour pot de miel ESET

Pendant que le procès de Senakh progressait, les chercheurs d’ESET ont exécuté des pots de miel pour suivre les prochains mouvements d’Ebury. Ils ont découvert que le botnet était toujours en expansion et recevait des mises à jour. Mais leur travail de détective n’est pas resté longtemps caché.

« Il devenait de plus en plus difficile de rendre les pots de miel indétectables », explique Léveillé. « Ils avaient beaucoup de techniques pour les voir. »

Un pot de miel a réagi étrangement lors de l’installation d’Ebury. Les opérateurs du botnet ont alors abandonné le serveur. Ils ont également envoyé un message à leurs adversaires : « Bonjour le pot de miel ESET ! »

Capture d'écran d'un message sur un ordinateur montrant les interactions entre les auteurs du crime d'Ebury et un pot de miel exploité par ESET, montrant que les opérateurs avaient signalé ce système comme un pot de miel.  La police néerlandaise a ensuite rouvert le dossier
Les auteurs d’Ebury ont détecté un pot de miel. Crédit : ESET

Tandis que l’affaire devenait inachevée, une autre affaire se développait aux Pays-Bas.

Fin 2021, le NHTCU avait créé une autre piste pour ESET. En travaillant ensemble, l’unité de cybercriminalité et la société de cybersécurité ont enquêté sur l’évolution d’Ebury.

«Le botnet s’est développé», explique Léveillé. « Il y a eu de nouvelles victimes et des incidents encore plus graves. »

ESET estime désormais qu’Ebury a compromis environ 400 000 serveurs depuis 2009. Lors d’un seul incident l’année dernière, 70 000 serveurs d’un fournisseur d’hébergement ont été infectés par le malware. Fin 2023, plus de 100 000 serveurs d’un seul fournisseur d’hébergement étaient encore compromis.

Certains de ces serveurs ont été utilisés pour des vols de cartes de crédit et de cryptomonnaies.

Le botnet vient pour Bitcoin

Pour voler de la cryptomonnaie, Ebury a déployé adversaire au milieu attaques (AitM), une technique de phishing sophistiquée utilisée pour accéder aux informations de connexion et aux informations de session.

En appliquant AitM, le botnet intercepté le trafic réseau provenant de cibles intéressantes à l’intérieur des centres de données. Le trafic était ensuite redirigé vers un serveur qui capturait les informations d’identification.

Les pirates ont également exploité des serveurs qu’Ebury avait précédemment infectés. Lorsque ces serveurs se trouvent dans le même segment de réseau que la nouvelle cible, ils fournissent une plate-forme d’usurpation d’identité.

Parmi les cibles lucratives figuraient Bitcoin et les nœuds Ethereum. Une fois que la victime a saisi son mot de passe, Ebury a automatiquement volé les portefeuilles de crypto-monnaie hébergés sur le serveur.

Schéma montrant comment Ebury utilise les attaques AitM pour accéder aux portefeuilles de crypto-monnaie, exposé par la police néerlandaise
La police néerlandaise a découvert l’itinéraire d’Ebury dans les portefeuilles de crypto-monnaie. Crédit : ESET

Les attaques AitM ont fourni une nouvelle méthode puissante pour monétiser rapidement le botnet.

« Le vol de crypto-monnaie n’était pas quelque chose que nous avions jamais vu faire auparavant », explique Léveillé.

L’enquête néerlandaise se poursuit

La diversité des victimes d’Ebury s’est également accrue. Ils couvrent désormais les universités, les petites et grandes entreprises et les commerçants de crypto-monnaie. Ils incluent également les fournisseurs de services Internet, les nœuds de sortie Tor, les fournisseurs d’hébergement partagé et les fournisseurs de serveurs dédiés.

Pour dissimuler leurs crimes, les opérateurs d’Ebury utilisent souvent des identités volées pour louer une infrastructure de serveurs et mener leurs attaques. Ces techniques poussent les enquêteurs dans la mauvaise direction.

« Ils sont vraiment doués pour brouiller les attributions » Léveillé says.

Le NHTCU a trouvé d’autres preuves de l’obscurcissement. Dans un nouveau livre blanc d’ESETont souligné les combattants du crime néerlandais several anonymisation techniques.

Les empreintes numériques d’Ebury se sont souvent révélées falsifiées, a déclaré le NTCU. Les traces menaient souvent à des personnes (apparemment) innocentes.

Les opérateurs ont également utilisé le mles noms et les références des cybercriminels connus pour détourner les enquêteurs de la piste. Sur un serveur de sauvegarde saisi, le NHTCU a trouvé une copie complète d’un site Web illicite avec des identifiants récupérés par d’autres escrocs.

« Ainsi, le groupe Ebury profite non seulement du vol des identifiants de connexion déjà volés, mais est également en mesure d’utiliser les identifiants des cybercriminels qui les volent », a déclaré la police néerlandaise.

« Ils peuvent ainsi créer une ‘couverture cybercriminelle’ qui pointe dans d’autres directions qu’eux-mêmes. »

Malgré ces fausses pistes, le NHTCU affirme que « plusieurs identités numériques prometteuses » sont activement recherchées. Léveillé, quant à lui, prend une nouvelle pause dans son enquête de 10 ans.

« Ce n’est pas fermé, mais je ne suis pas sûr qu’il y ait des individus derrière cela », dit-il. « C’est encore une inconnue – du moins pour moi. »




Source link