Gameover Zeus

Numéro : IN14-001
Date : 2 juin 2014

Public cible

Le présent document donne des renseignements sur la variante Gameover du cheval de Troie Zeus. Il contient également des conseils de prévention visant à atténuer les risques liés à cette menace.

Introduction

On estime que Gameover pose un risque réel en raison du type d’information ciblé : principalement des justificatifs de comptes financiers et d’ouverture de session qui permettent d’accéder sans permission à des ordinateurs et des réseaux, ainsi qu’aux données qu’ils contiennent. Gameover infecte de nouveaux hôtes au moyen de téléchargements furtifs et de campagnes de pourriels. Des attaquants l’ont aussi utilisé pour transmettre d’autres maliciels aux victimes. Il s’agit d’un cheval de Troie sophistiqué qui est modifié constamment pour retarder la détection par les logiciels antivirus et ainsi voler plus de données.

Description

Zeus
Zeus, un cheval de Troie axé sur le vol d’informations, fait partie d’une famille de logiciels criminels conçus pour voler des données des victimes, et en particulier des données financières. Zeus circule depuis plusieurs années et utilise une infrastructure de commande et de contrôle (C2) centralisée.

Gameover
Gameover est une variante poste-à-poste (P2P) du cheval de Troie Zeus. Le code source de Zeus a été publié sur Internet en mai 2011, et a ensuite été utilisé pour créer des variantes, y compris Gameover. Comme les autres variantes de Zeus, Gameover vole les noms d’utilisateur et les mots de passe, en ciblant les justificatifs de comptes bancaires. Il est particulièrement résilient puisque, contrairement à la version traditionnelle de Zeus, il utilise une structure poste à poste.

Figure 1
Description

Cette image montre les étapes que suit le maliciel Gameover Zeus pour infecter un ordinateur.

  1. L’attaquant compromet des serveurs HTTPS Web et y plante le maliciel Gameover Zeus.
  2. L’attaquant piège sa victime avec le réseau d’ordinateurs zombies Cutwail spécialisé dans la diffusion de pourriels.
  3. Le pourriel parvient à la victime avec le téléchargeur Upatre en pièce jointe.
  4. La victime lance le téléchargeur Upatre.
  5. Une fois transféré à partir d’un serveur HTTPS compromis, le contenu malveillant est exécuté.
  6. Le système infecté est intégré au réseau d’ordinateurs zombies en poste à poste Gameover Zeus.

Résilience

Gameover utilise une infrastructure de réseau de zombies P2P dans le cadre de laquelle les appareils compromis (zombies) communiquent entre eux au lieu d’utiliser un serveur central. Le contrôleur peut gérer le réseau de zombies par l’intermédiaire de divers appareils compromis au lieu d’à partir d’un emplacement centralisé. Les nœuds du réseau peuvent aussi télécharger des commandes, des fichiers de configuration et des fichiers exécutables d’autres nœuds. Par conséquent, ces réseaux sont plus résilients et résistent mieux aux mesures conçues pour les dérégler (mise hors ligne de serveurs, utilisation de puisards).

Figure 2
Description

Cette image illustre la différence entre un réseau d'ordinateurs zombies de commandement et de contrôle et un réseau d'ordinateurs zombies en poste à poste. Le premier est contrôlé par une seule entité alors que le second peut l'être par plusieurs.

  1. Attackers compromise HTTPS web servers and plant Gameover Zeus malware.
  2. Attackers use Cutwail spam botnet to lure victims.
  3. Spam email arrives with Upatre malware attachment.
  4. User executes Upatre malware downloader.
  5. Malware payload retrieved from compromised HTTPS server and executed.  Infected machine becomes part of the Gameover Zeus peer-to-peer botnet.

Pour accroître la résilience, s’il ne peut communiquer avec des appareils compromis, Gameover utilise des domaines appartenant aux attaquants qui ont été générés au moyen d’un algorithme de création de domaines. Cet algorithme génère 1000 noms de domaines pseudo-aléatoires qui sont aléatoirement ajoutés à l’un de six domaines de premier niveau (.com, .net, .org, .biz, .info, .ru). Ces domaines peuvent être enregistrés au nom de l’attaquant pour éviter la détection ou pour compliquer la tâche de chercheurs en sécurité ou d’agences d’application de la loi qui voudraient en prendre le contrôle. Un hôte infecté reçoit des commandes au moyen d’un échange de clés publiques et privées en vue de communiquer les données volées aux attaquants. Il est donc difficile de prendre le contrôle du réseau de zombies sans connaître la clé privée.

Après avoir infecté un ordinateur, Gameover vole les justificatifs bancaires, les numéros de carte de crédit et d’autres renseignements privés. Il tente aussi de communiquer avec un nœud actif du réseau de zombies P2P pour vérifier la version du maliciel et mettre celui-ci à jour. Gameover communique avec les nœuds et les serveurs éloignés du réseau de zombies au moyen du chiffrement RC4. Au fur et à mesure que les fournisseurs de produits de sécurité améliorent leur détection de Gameover, les criminels responsables modifient leurs tactiques pour éviter la détection. Des versions récentes du téléchargeur Upatre téléchargent Gameover en format chiffré (.ENC). Il s’agit d’un format de fichier non reconnu comme fichier exécutable par la plupart des serveurs spécialisés de sécurité au périmètre du réseau. Le fichier est déchiffré au moyen de la version d’Upatre jointe au courriel d’hameçonnage et exécuté sur le système de la victime.

Autres caractéristiques

Déni de service distribué (DDoS)
Les attaquants qui utilisent Gameover pour voler des renseignements ont aussi lancé des attaques DDoS en parallèle aux fins de distraction pour masquer la nature réelle de l'attaque. Dans ces cas, les attaques DDoS ont été lancées peu après le vol des justificatifs pour masquer le vol, ou pendant l'attaque afin de retarder la détection. Des attaques DDoS ont aussi été utilisées pour empêcher que les victimes accèdent à leurs comptes en ligne et que les employés puissent naviguer sur Internet. Les criminels ont lancé ces attaques au moyen de trousses de logiciels criminels, par exemple DirtJumper ou Russkill.

Trousses administrateur pirates

Une autre variante de Gameover utilise du code de la trousse administrateur pirate Necurs. Cette trousse rend plus difficiles la détection et la suppression du maliciel. Cela permet aux attaquants d'infecter plus longtemps les hôtes, et donc de voler plus de données.

Méthodes d'infection

Gameover cible ses victimes au moyen de campagnes d'hameçonnage massives, assumant typiquement l'identité de vendeurs en lignes, d'entreprises de téléphone cellulaire, de sites de médias sociaux et d'institutions financières et alléguant un problème avec le compte de l'utilisateur. Le CCRIC a aussi observé des campagnes de courriel qui utilisaient des pièces jointes contenant la variante de Zeus déguisée en itinéraires de compagnies aériennes ou en avis du bureau de poste. L'acteur menant la campagne utilise de grands réseaux d'hameçonnage pour distribuer les courriels de mystification, qui demandent au destinataire de cliquer sur un lien ou d'ouvrir une pièce jointe associée au thème du courriel (prétendu problème associé à un commerçant, faux itinéraire de voyage, reçu falsifié pour livraison d'un paquet, etc.).
Les attaquants ont aussi injecté du contenu dans des séances de navigation de chercheurs d'emplois et de recruteurs afin d'obtenir encore plus de justificatifs de connexion. On a vu Gameover cibler des sites populaires de recrutement, ce qui peut permettre aux attaquants d'obtenir les justificatifs de personnes qui gèrent de grands comptes financiers.


On utilise des trousses d'exploitation, par exemple Blackhole, comme vecteur d'infection initial, en tirant profit de vulnérabilités dans des navigateurs Web et les plugiciels associés (p. ex., Adobe Reader, Adobe Flash, Java d'Oracle) pour installer des chevaux de Troie de téléchargement comme Pony or Upatre. Le téléchargeur charge et installe alors Gameover sur le système de la victime. Le cheval de Troie de téléchargement a l'avantage d'être très petit et très simple, ce qui le rend difficile à détecter et moins suspect. De plus, certains téléchargeurs offrent des fonctions particulières, par exemple l'utilisation par Upatre d'une connexion SSL chiffrée pour télécharger et exécuter un fichier à partir d'une URL fixe.
Le téléchargeur Pony est une trousse librement accessible qui récupère le maliciel Gameover à partir de sites Web compromis, normalement en utilisant une adresse fixe. Pony vole aussi les justificatifs de divers logiciels installés par la victime et les transmet à un serveur de commande et de contrôle Pony au moyen de communications chiffrées. Les exploitants de réseaux de zombies peuvent alors accéder aux justificatifs volés par l'intermédiaire d'un portail Web fourni par Pony.


Mesures proposées
Le CCRIC recommande aux organisations d'examiner les mesures suivantes et de les appliquer en fonction de leur environnement réseau.

Références:

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :