Opération Tovar : piratage de masse stoppé ?

Le ministère américain de la Justice a annoncé hier lundi 2 juin le démantèlement d’un nouveau réseau de pirates informatiques auteurs de plusieurs dizaines de milliers d’attaques qui auraient permis de voler plusieurs millions de dollars aux américains, mais aussi à des entreprises de par le monde.

Une action conjointe, baptisée Tovar (Téléchargement en Croate ou âne/donkey ndr) avec l’aide d’Interpol et de plusieurs polices nationales (dont la France, le Japon, l’Italie, la Nouvelle-Zélande, le Luxembourg). Intéressante action qui fait suite à l’arrestation de plusieurs dizaines d’internautes amateurs de chevaux de Troie (Lire l’affaire BlackShades) et l’arrestation de mules qui avaient pour mission de blanchir l’argent détourné. Bref, les disques durs saisis voilà un mois semblent parler, beaucoup ! On peut noter, aussi, comme à chaque action de la police américaine, des adjectifs qui font entendre que c’est le plus important réseau du monde, jamais stoppé. Cette fois, le DoJ explique que le réseau, baptisé Gameover Zeus « est le plus sophistiqué que le FBI et nos alliés ont jamais tenté de démanteler« . Bon, ils nous font le coup chaque année.

Son nom est Slavik, Pollingsoon, Mikhailovich, Bogachev, lucky12345

Le moins que l’on puisse dire est que l’ambiance politique entre la Russie et l’Ukraine permet aux autorités américaines et européennes de faire le ménage dans les rangs des pirates… russes. Derriére cette action du Département de la justice américaine, un homme, Evgeniy Mikhailovich Bogachev, sympathique russe de 30 ans (il en aura 31 fin octobre, Ndr), inculpé par le tribunal de Pittsburgh (USA – Pennsylvanie) en août 2012. Le « gars » avait de la suite dans les idées et, mais il parait qu’on n’a pas le droit de l’écrire, des portes d’entrées au Kremlin. Bref, son petit business qui additionnait les millions de dollars a été stoppé net quand la police Ukrainienne, secondée par le FBI et l’EC3 (Centre européen du cyber crime), a fait fermer les bots « maître » basés à Kiev et Donetsk. Les machines contrôlaient des serveurs basés en France, Canada, Allemagne, Luxembourg, Pays-Bas et au Royaume-Uni. Des « lieutenants » numériques qui contrôlaient plus de 320.000 ordinateurs de particuliers et d’entreprises transformés en zombies. Finalité, voler un maximum d’argent. Le gang mafieux s’est attaqué à plusieurs sociétés françaises, belges, mais aussi américaines, dont une tribu indienne ! Slavik, Pollingsoon, Mikhailovich, Bogachev, lucky12345, 92829 a commencé à intéresser le FBI après la découverte d’une version modifiée du cheval de Troie Zeus, connu sous le nom Gameover Zeus (GOZ). Le FBI indique que GOZ serait responsable de plus d’un million d’infections informatiques, entraînant des pertes financières de centaines de millions de dollars. Bogachev a également été accusé de complot (en avril 2014) en vue de commettre une fraude bancaire liée à son implication présumée dans le fonctionnement d’une variante d’un code malveillant connu sous le nom « Jabber Zeus. »

Les internautes ont deux semaines pour réagir

 

Le National Crime Agency (NCA) britannique vient de lancer une alerte et encourage fortement les internautes du Royaume-Uni à protéger et mettre à jour leurs ordinateurs au cours des deux prochaines semaines, suite au démantèlement du puissant réseau de cybercriminels dans le cadre de l’Opération Tovar menée conjointement par le FBI, Europol et le NCA. Le groupe de hackers est en effet soupçonné d’avoir infecté près d’un million d’ordinateurs dans le monde grâce au virus Cryptolocker et au botnet Gameover Zeus (ou GOZeuS). Le virus Cryptolocker (appelé aussi virus gendarme, virus Sacem, Virus Hadopi) aurait déjà infecté plus de 234,000 machines. « Les Botnets infectent généralement leurs victimes de manière opportuniste plutôt que via des attaques ciblées. Le plus souvent, la finalité est de prendre le contrôle des machines afin de perpétrer des attaques par déni de service (DoS), via des redirections de communications command and control (C&C) et pour rassembler des informations personnelles d’identifications (PII) et codes d’accès de haute importance » souligne Olivier Mélis, Country Manager France chez CyberArk.

Bien qu’elles concernent principalement les individus, ces attaques opportunistes sont également en mesure d’atteindre les réseaux d’entreprises afin de détourner les codes d’accès, que ce soit à travers l’infection d’une machine au sein du réseau ou les identifiants VPN. Les hackers peuvent ainsi viser les utilisateurs individuels mais également les organisations qui leur permettent de faire des bénéfices financiers plus intéressants. Le plus ennuyeux dans ce type d’attaques est le succès que rencontrent les pirates lors du détournement de comptes à privilèges, tels que les comptes d’administrateurs ou ceux d’opérateurs de systèmes de contrôle industriels. C’est pourquoi les organisations ne peuvent plus se contenter de sécuriser les informations d’identification sensibles par de simples périmètres de sécurité ou outils traditionnels.

Il est essentiel de surveiller et de contrôler ces comptes puissants pour limiter au maximum la menace d’une attaque sur une organisation. Les entreprises auraient raison de penser que leur réseau est déjà potentiellement compromis et de se concentrer sur la sécurisation de l’accès à leurs ressources les plus vitales. De son côté, le NCA a lancé le compte à rebours, laissant deux semaines aux britanniques pour protéger leurs ordinateurs. Il faut toutefois rappeler que cette attaque a été perpétrée au niveau mondial et qu’aucune organisation d’aucun pays n’est à l’abri aujourd’hui. Le CERT Américain propose de quoi nettoyer un ordinateur tombé sous l’influence Gameover Zeus.

Un coup d’arrêt, c’est certain, pour ce réseau de pirates. Sauf qu’il en existe des dizaines d’autres, plus ou moins sécurisés, qui commentent vols de bases de données et extorsions de fonds via des actes de piratages informatiques ciblés, ou non.