Les cybercriminels russophones à l’assaut des finances occidentales – Par Alexei Chachourine, consultant sécurité chez Lexsi

Magnifying Glass and Mature Explorer

Il ne se passe pas une semaine sans qu’on annonce le piratage d’un acteur important de la vie économique aux Etats-Unis. Figurent sur la liste les plus grandes chaînes de distribution, de restaurants et plus récemment même les institutions financières directement. Les indices sur les auteurs des casses les plus audacieux et retentissants pointent souvent vers les cybercriminels russophones. L’inquiétude est vive aux Etats-Unis et Barack Obama en personne « contrôlerait les investigations » concernant les récentes cyberattaques contre 12 banques et compagnies d’assurances. Les services de sécurité américains soupçonnaient au début la Russie d’utiliser en sous main des cybercriminels afin de se venger des sanctions économiques imposées dans le cadre du conflit avec l’Ukraine. Des cybercriminels ont en tout cas réussi à s’emparer récemment des données de 83 millions (soit une large majorité) de clients de JPMorgan Chase, une voire la plus importante banque du pays. D’autres grandes banques américaines ont constaté que les pirates présumés de JPMorgan Chase ont également tenté de compromettre leurs systèmes.

Qui sont ces cybercriminels russes dont on parle quotidiennement dans les médias spécialisés ? Quel est leur profil et qu’est ce qui les pousse à grossir les rangs des hors-la-loi numérique ? La cybercriminalité russophone n’est pas différente en soi, mais les réseaux russophones sont généralement en avance sur les autres de par la grande expertise technique des individus, et leur forte capacité à s’organiser et à brouiller les pistes. Poussés par une concurrence exacerbée, les cybercriminels russophones améliorent sans cesse leurs pratiques et outils. Dans les pays russophones, nombreux sont ceux qui s’engagent ainsi dans ces activités illégales.

Et plusieurs facteurs contribuent à cette évolution

Un véritable phénomène de société Gagner sa vie en tant que cybercriminel en Russie ne pose généralement pas de problèmes moraux, car cette activité n’est pas perçue comme un délit. En Russie, le passage à l’acte est facilité par le ressentiment ambiant anti-occidental, et le vol même comme une forme de justice sociale. Certains pirates affirment que leurs actes ne nuisent à personne en Occident car « les fraudes sont compensées par les assurances ou remboursées par les banques ». Culturellement en Russie, gagner sa vie en enfreignant la loi est perçu comme quelque chose de naturel, d’autant plus que le pays est gangrené par la corruption, jusque dans les plus hautes sphères du pouvoir. Chez les Russes, le seuil d’acceptation des différentes formes de contournement de la loi est plus important que dans la plupart des démocraties occidentales. L’histoire russe fut tourmentée, que ce soit sous le régime tsariste ou sous les communistes. Des lois dures, inhumaines pour la population, étaient contrebalancées par le caractère facultatif et discriminatoire de leur respect et application. Il fallait parfois tricher, voler et s’adapter pour survivre. La désobéissance à l’État et le vol n’ont dès lors jamais été perçus comme quelque chose de choquant. Aujourd’hui, donner un pot de vin à un fonctionnaire est une pratique courante.

L’index de la perception de la corruption en 2013 établie par Transparency International. La Russie occupe la 127ème place.

Dans ces conditions, les jeunes perçoivent mal la limite entre ce qui est moral ou non en matière de cybercriminalité. De plus, le sujet étant rarement évoqué dans les médias, une grande part de la population n’a pas conscience du phénomène.

De nombreux jeunes informaticiens ou autodidactes basculent dans la cybercriminalité alors que subsiste un réel déficit de spécialistes en informatique, dans un secteur des nouvelles technologies en pleine croissance. Mais la formation des spécialistes par les universités ne correspond pas aux besoins des entreprises et il faut 5 à 7 ans pour devenir professionnel. De plus, ces emplois sont très mal repartis géographiquement. Les propositions abondent dans les grandes métropoles que sont Moscou, St Petersbourg ou Kazan, alors que dans d’autres régions, les informaticiens ont du mal à trouver un poste convenable.

L’explosion des sites spécialisés pour cybercriminels

Des forums underground présentent un large choix d’outils et services dédiés à la commission d’actes cybercriminels, aussi bien pour le professionnel aguerri qu’à « l’aspirant » ne possédant aucun bagage technique. Il existe par exemple des sites très professionnels proposant toute une palette d’outils de carding et de skimming. Ces deux activités sont très anciennes mais leur efficacité a atteint des proportions industrielles.

Différents types de skimmers proposés, neufs avec un pack comprenant clavier et logiciels. Le skimmer peut garder en mémoire jusqu’à 500 dumps scannés de cartes (données Track1 et 2). La batterie a une autonomie de 12-15 heures. Les troyens bancaires, un outil clés en main pour la fraude en ligne Le troyen bancaire est le moyen le plus courant des cybercriminels russophones pour voler massivement les informations personnelles et bancaires d’utilisateurs à des fins de fraude. Depuis plusieurs années, les malware bancaires d’origine russe représentent la très large majorité des troyens les plus répandus. Pour installer massivement les troyens bancaires sur les ordinateurs, les cybercriminels se servent de logiciels baptisés « kits d’exploits », qui cherchent parmi plusieurs vulnérabilités logicielles celle qui permettra de s’introduire furtivement sur les ordinateurs ciblés et permettre le téléchargement d’une « charge utile », un code malveillant, bancaire ou non. Parmi les packs d’exploits les plus utilisés, plus de deux tiers sont d’origine russophone.

Au delà de l’apprentissage du piratage pour les novices, les forums remplissent pour certains le rôle devéritables réseaux sociaux, ce qui renforce le degré d’implication dans le processus criminel. La plupart y passent leurs journées en discutant parfois de tout et rien. L’intégration des chats (messagerie instantanée) dans les forums a renforcé cette proximité. Le forum généraliste « Antichat » est devenu au fil des ans un lieu de rencontre pour tous. Ici de véritables cybercriminels parlent aux simples geeks et autres employés et même, comme s’en moquent parfois certains, aux femmes au foyer.

Sur le forum « antichat » il existe une rubrique « Pour les administrateurs » dans laquelle une large part de discussions est consacrée à la défense anti-DDOS.

La partie voisine du forum est dédiée aux offres d’attaques par DDOS.

Un environnement judiciaire favorable aux cybercriminels

Les forces de l’ordre locales ayant d’autres priorités fixées par leur hiérarchie, la répression de ce type de délit était jusqu’à présent quasi inexistante, à condition que le cybercriminel ne s’attaque pas aux établissements financiers et/ou clients basés en Russie. Les textes de loi qui sanctionnent les actes de cybercriminalité demeurent inadaptés aux évolutions technologiques récentes. Enfin, les magistrats ne disposent pas des compétences nécessaires pour juger les délits dans le domaine de l’informatique. L’impunité presque totale des cybercriminels les incite à poursuivre leurs méfaits. Une collaboration internationale limitée aux intérêts nationaux Il est beaucoup plus complexe pour les justices d’autres pays d’obtenir l’arrestation sur le sol russe de cybercriminels attaquant des organisations basées à l’étranger.

Roman Seleznev, fils d’un député du parlement russe (Douma) a été arrêté en juillet 2014 aux Maldives et transféré à Guam par les services secrets américains. Il est accusé de vol et de revente de plus de 2 millions numéros de cartes bancaires. Dans notre étude sur les réseaux de cybercriminalité russophones, diffusée en début d’année à nos clients, nous formulions des prévisions concernant les répercussions possibles du conflit entre la Russie et l’Ukraine (et le monde occidental) de l’autre. Celles-ci se sont avérées exactes, et nos conclusions demeurent encore d’actualité à ce jour.

Avec la crise en Ukraine, la fin des illusions…

Pour tous les établissements bancaires, la crise russo-ukrainienne a des impacts directs en termes de lutte contre la cybercriminalité. Le réchauffement des relations ces dernières années entre les pays européens et la Russie avait permis d’entrevoir quelques avancées en matière de répression des actes cybercriminels par des citoyens russophones, en particulier en Ukraine. Mais il est évident qu’aujourd’hui, avec le conflit frontal des pays Occidentaux avec Poutine, aucune priorité ne sera donnée à la poursuite des pirates impactant les intérêts d’organisations issues de pays occidentaux. Les condamnations de cybercriminels russes seront de fait encore plus rares qu’aujourd’hui, et les pirates en sont conscients puisqu’ils l’évoquent déjà au sein de leurs communautés. Il est donc peu probable qu’une démarche répressive par les mécanismes bilatéraux d’entraide judiciaire soit couronnée de succès dès lors que vous présumez être face à ce type d’attaquants. Et si une suite judiciaire est donnée à un acte cybercriminel, une action des autorités menée avec des partenaires européens voire internationaux a plus de chances d’aboutir.

Comme expliqué dans le rapport, les États-Unis procèdent de leur côté de plus en plus via des mandats d’arrêt internationaux exécutés lors des déplacements des suspects au sein de pays tiers disposant d’accords d’extradition. Il y a ainsi un risque que si la crise s’amplifie, elle donne l’occasion aux autorités russes de donner un blanc-seing, voire de récupérer les compétences des cybercriminels locaux à leur propre bénéfice, à des fins de guerre électronique ou de façon plus « larvée » à des fins économiques (sabotage, espionnage, déstabilisation, etc.). Nous poursuivons notre surveillance et analyse des réseaux de cybercriminalité et diffuserons bientôt à nos clients un dossier consacré plus particulièrement au marché des données des cartes bancaires volées, et à ses acteurs. Nous formulerons également des conseils afin de minimiser les pertes financières et en en termes d’image en cas de fuite de données de ce type.

Related Topics
Author
By
@coesteve1
Related Posts

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

Les cybercriminels russophones à l’assaut des finances occidentales – Par Alexei Chachourine, consultant sécurité chez Lexsi

Magnifying Glass and Mature Explorer 23rd octobre, 2014

Il ne se passe pas une semaine sans qu’on annonce le piratage d’un acteur important de la vie économique aux Etats-Unis. Figurent sur la liste les plus grandes chaînes de distribution, de restaurants et plus récemment même les institutions financières directement. Les indices sur les auteurs des casses les plus audacieux et retentissants pointent souvent vers les cybercriminels russophones. L’inquiétude est vive aux Etats-Unis et Barack Obama en personne « contrôlerait les investigations » concernant les récentes cyberattaques contre 12 banques et compagnies d’assurances. Les services de sécurité américains soupçonnaient au début la Russie d’utiliser en sous main des cybercriminels afin de se venger des sanctions économiques imposées dans le cadre du conflit avec l’Ukraine. Des cybercriminels ont en tout cas réussi à s’emparer récemment des données de 83 millions (soit une large majorité) de clients de JPMorgan Chase, une voire la plus importante banque du pays. D’autres grandes banques américaines ont constaté que les pirates présumés de JPMorgan Chase ont également tenté de compromettre leurs systèmes.

Qui sont ces cybercriminels russes dont on parle quotidiennement dans les médias spécialisés ? Quel est leur profil et qu’est ce qui les pousse à grossir les rangs des hors-la-loi numérique ? La cybercriminalité russophone n’est pas différente en soi, mais les réseaux russophones sont généralement en avance sur les autres de par la grande expertise technique des individus, et leur forte capacité à s’organiser et à brouiller les pistes. Poussés par une concurrence exacerbée, les cybercriminels russophones améliorent sans cesse leurs pratiques et outils. Dans les pays russophones, nombreux sont ceux qui s’engagent ainsi dans ces activités illégales.

Et plusieurs facteurs contribuent à cette évolution

Un véritable phénomène de société Gagner sa vie en tant que cybercriminel en Russie ne pose généralement pas de problèmes moraux, car cette activité n’est pas perçue comme un délit. En Russie, le passage à l’acte est facilité par le ressentiment ambiant anti-occidental, et le vol même comme une forme de justice sociale. Certains pirates affirment que leurs actes ne nuisent à personne en Occident car « les fraudes sont compensées par les assurances ou remboursées par les banques ». Culturellement en Russie, gagner sa vie en enfreignant la loi est perçu comme quelque chose de naturel, d’autant plus que le pays est gangrené par la corruption, jusque dans les plus hautes sphères du pouvoir. Chez les Russes, le seuil d’acceptation des différentes formes de contournement de la loi est plus important que dans la plupart des démocraties occidentales. L’histoire russe fut tourmentée, que ce soit sous le régime tsariste ou sous les communistes. Des lois dures, inhumaines pour la population, étaient contrebalancées par le caractère facultatif et discriminatoire de leur respect et application. Il fallait parfois tricher, voler et s’adapter pour survivre. La désobéissance à l’État et le vol n’ont dès lors jamais été perçus comme quelque chose de choquant. Aujourd’hui, donner un pot de vin à un fonctionnaire est une pratique courante.

L’index de la perception de la corruption en 2013 établie par Transparency International. La Russie occupe la 127ème place.

Dans ces conditions, les jeunes perçoivent mal la limite entre ce qui est moral ou non en matière de cybercriminalité. De plus, le sujet étant rarement évoqué dans les médias, une grande part de la population n’a pas conscience du phénomène.

De nombreux jeunes informaticiens ou autodidactes basculent dans la cybercriminalité alors que subsiste un réel déficit de spécialistes en informatique, dans un secteur des nouvelles technologies en pleine croissance. Mais la formation des spécialistes par les universités ne correspond pas aux besoins des entreprises et il faut 5 à 7 ans pour devenir professionnel. De plus, ces emplois sont très mal repartis géographiquement. Les propositions abondent dans les grandes métropoles que sont Moscou, St Petersbourg ou Kazan, alors que dans d’autres régions, les informaticiens ont du mal à trouver un poste convenable.

L’explosion des sites spécialisés pour cybercriminels

Des forums underground présentent un large choix d’outils et services dédiés à la commission d’actes cybercriminels, aussi bien pour le professionnel aguerri qu’à « l’aspirant » ne possédant aucun bagage technique. Il existe par exemple des sites très professionnels proposant toute une palette d’outils de carding et de skimming. Ces deux activités sont très anciennes mais leur efficacité a atteint des proportions industrielles.

Différents types de skimmers proposés, neufs avec un pack comprenant clavier et logiciels. Le skimmer peut garder en mémoire jusqu’à 500 dumps scannés de cartes (données Track1 et 2). La batterie a une autonomie de 12-15 heures. Les troyens bancaires, un outil clés en main pour la fraude en ligne Le troyen bancaire est le moyen le plus courant des cybercriminels russophones pour voler massivement les informations personnelles et bancaires d’utilisateurs à des fins de fraude. Depuis plusieurs années, les malware bancaires d’origine russe représentent la très large majorité des troyens les plus répandus. Pour installer massivement les troyens bancaires sur les ordinateurs, les cybercriminels se servent de logiciels baptisés « kits d’exploits », qui cherchent parmi plusieurs vulnérabilités logicielles celle qui permettra de s’introduire furtivement sur les ordinateurs ciblés et permettre le téléchargement d’une « charge utile », un code malveillant, bancaire ou non. Parmi les packs d’exploits les plus utilisés, plus de deux tiers sont d’origine russophone.

Au delà de l’apprentissage du piratage pour les novices, les forums remplissent pour certains le rôle devéritables réseaux sociaux, ce qui renforce le degré d’implication dans le processus criminel. La plupart y passent leurs journées en discutant parfois de tout et rien. L’intégration des chats (messagerie instantanée) dans les forums a renforcé cette proximité. Le forum généraliste « Antichat » est devenu au fil des ans un lieu de rencontre pour tous. Ici de véritables cybercriminels parlent aux simples geeks et autres employés et même, comme s’en moquent parfois certains, aux femmes au foyer.

Sur le forum « antichat » il existe une rubrique « Pour les administrateurs » dans laquelle une large part de discussions est consacrée à la défense anti-DDOS.

La partie voisine du forum est dédiée aux offres d’attaques par DDOS.

Un environnement judiciaire favorable aux cybercriminels

Les forces de l’ordre locales ayant d’autres priorités fixées par leur hiérarchie, la répression de ce type de délit était jusqu’à présent quasi inexistante, à condition que le cybercriminel ne s’attaque pas aux établissements financiers et/ou clients basés en Russie. Les textes de loi qui sanctionnent les actes de cybercriminalité demeurent inadaptés aux évolutions technologiques récentes. Enfin, les magistrats ne disposent pas des compétences nécessaires pour juger les délits dans le domaine de l’informatique. L’impunité presque totale des cybercriminels les incite à poursuivre leurs méfaits. Une collaboration internationale limitée aux intérêts nationaux Il est beaucoup plus complexe pour les justices d’autres pays d’obtenir l’arrestation sur le sol russe de cybercriminels attaquant des organisations basées à l’étranger.

Roman Seleznev, fils d’un député du parlement russe (Douma) a été arrêté en juillet 2014 aux Maldives et transféré à Guam par les services secrets américains. Il est accusé de vol et de revente de plus de 2 millions numéros de cartes bancaires. Dans notre étude sur les réseaux de cybercriminalité russophones, diffusée en début d’année à nos clients, nous formulions des prévisions concernant les répercussions possibles du conflit entre la Russie et l’Ukraine (et le monde occidental) de l’autre. Celles-ci se sont avérées exactes, et nos conclusions demeurent encore d’actualité à ce jour.

Avec la crise en Ukraine, la fin des illusions…

Pour tous les établissements bancaires, la crise russo-ukrainienne a des impacts directs en termes de lutte contre la cybercriminalité. Le réchauffement des relations ces dernières années entre les pays européens et la Russie avait permis d’entrevoir quelques avancées en matière de répression des actes cybercriminels par des citoyens russophones, en particulier en Ukraine. Mais il est évident qu’aujourd’hui, avec le conflit frontal des pays Occidentaux avec Poutine, aucune priorité ne sera donnée à la poursuite des pirates impactant les intérêts d’organisations issues de pays occidentaux. Les condamnations de cybercriminels russes seront de fait encore plus rares qu’aujourd’hui, et les pirates en sont conscients puisqu’ils l’évoquent déjà au sein de leurs communautés. Il est donc peu probable qu’une démarche répressive par les mécanismes bilatéraux d’entraide judiciaire soit couronnée de succès dès lors que vous présumez être face à ce type d’attaquants. Et si une suite judiciaire est donnée à un acte cybercriminel, une action des autorités menée avec des partenaires européens voire internationaux a plus de chances d’aboutir.

Comme expliqué dans le rapport, les États-Unis procèdent de leur côté de plus en plus via des mandats d’arrêt internationaux exécutés lors des déplacements des suspects au sein de pays tiers disposant d’accords d’extradition. Il y a ainsi un risque que si la crise s’amplifie, elle donne l’occasion aux autorités russes de donner un blanc-seing, voire de récupérer les compétences des cybercriminels locaux à leur propre bénéfice, à des fins de guerre électronique ou de façon plus « larvée » à des fins économiques (sabotage, espionnage, déstabilisation, etc.). Nous poursuivons notre surveillance et analyse des réseaux de cybercriminalité et diffuserons bientôt à nos clients un dossier consacré plus particulièrement au marché des données des cartes bancaires volées, et à ses acteurs. Nous formulerons également des conseils afin de minimiser les pertes financières et en en termes d’image en cas de fuite de données de ce type.

By
@coesteve1
backtotop