Le cheval de Troie ZeuS, aussi connu sous ses petits noms « PRG », « Zbot », ou encore « WSNPoem », subit depuis fin 2009 des mutations particulièrement inquiétantes. Les chercheurs en sécurité qui observent le malware en laboratoire ont en effet noté l’apparition de fonctionnalités inédites depuis environs six mois, qui confirment que ZeuS reste à la pointe de l’innovation technique.
Ainsi, la version 1.4, identifiée pour la première fois en décembre 2009, inclut en standard une fonction d’injection de pages HTML dans FireFox, alors que cette fonctionnalité restait jusqu’ici accessible uniquement aux clients ayant fait l’acquisition d’un module externe ; elle inclut également un module de prise de contrôle à distance de la machine infecté via le protocole VNC, outil très répandu de « bureau à distance ». Mais surtout, la version 1.4 introduit un mécanisme de polymorphisme, le virus se ré-encryptant immédiatement sur la machine nouvellement infectée, de sorte que les anti-virus voient leur travail entravé.
La problématique, pour l’auteur de ZeuS, est donc clairement de valoriser le malware en innovant et en développant sa clientèle. Oui mais voilà, la plupart des versions de ZeuS en circulation se faisaient rapidement pirater, les clients n’hésitant pas à revendre leur acquisition à d’autres pirates – au rabais, et en injectant au passage une porte dérobée : il est extrêmement simple de trouver sur des forums différentes versions de ZeuS à très bas prix, voire gratuites, alors que la version payante peut être acquise auprès de l’auteur du malware pour plus de 5.000 dollars. Pour protéger son « œuvre » et ses « droits d’auteur », le développeur de ZeuS a ainsi inclus dès novembre 2009 un mécanisme de protection, basé sur une clef de licence unique, générée à partir des caractéristiques matérielles de la machine du pirate : ainsi, un autre pirate ne pourra pas installer sur son ordinateur le malware avec une clef de licence volée.
Ces innovations sont toutefois à un stade encore expérimental : les dernières versions de ZeuS (1.3.4 et supérieures) ne sont diffusées que sur un seul botnet, probablement destiné à tester les versions « beta » du malware. Le développeur dispose en effet des services d’un bon client, qui suit le malware depuis plusieurs années, au point que certaines fonctionnalités aient été codées à sa demande et soient restées en diffusion privée pendant longtemps. Ce groupe de fraudeurs, baptisé « JabberZeus » par les chercheurs, se spécialise dans le vol d’informations bancaires de comptes d’entreprises, en particulier aux Etats-Unis via le réseau de l’Automated Clearing House : à la mi-2009, les chercheurs attribuaient à ce seul groupe des tentatives de virement frauduleux de 50.000 à 100.000 dollars par jour.
On en sait aujourd’hui davantage sur le développeur du malware : celui-ci, qui revendiquait la paternité du code en 2007, possède une manière très personnelle de faire parler de lui. En effet, en septembre 2006, il débarque sur des forums criminels avec sa nouvelle identité, « UpLevel », après en avoir usé plusieurs autres, associées à une mauvaise réputation dont il se débarrasse du même coup. On sait peu de choses avant cette date, si ce n’est qu’il a servi dans l’armée de l’air russe, probablement à l’occasion de son service militaire. En décembre 2006, UpLevel parvient à attendrir le milieu en déclarant avoir subi un grave accident de moto (il en donne même la photo) : atteint à la colonne vertébrale, le médecin lui aurait interdit la position assise pendant plusieurs mois. La nouvelle provoque tellement d’émotion dans la communauté qu’il lance une collecte de dons pour financer son opération et sa rééducation. Il obtient très vite le statut honorifique de modérateur sur le forum, et devient un personnage reconnu et respecté de la communauté, intervenant souvent comme tiers de confiance dans des transactions sensibles.
Puis, en mai 2007, il retourne de nouveau sa chemise et disparaît du jour au lendemain, laissant derrière lui des dizaines de milliers de dollars de dettes à des créanciers particulièrement agacés. Il perd tous ses statuts honorifiques, est traité d’escroc sur la place publique, et est placé sur la liste noire Kidala.info. Cependant, tout semble indiquer que cette disparition est une nouvelle mise en scène, et que le pirate a simplement changé d’identité, avec la bénédiction des administrateurs du forum. Ainsi, trois jours après son évaporation, un certain « A-Z » prend le relais – identité qui était restée jusqu’ici inactive.
Coïncidence ? L’été 2007 est justement la période où, selon SecureWorks, le développeur aurait entamé une collaboration particulièrement fructueuse avec un groupe de criminels allemands, qui se sont illustrés par l’utilisation de ZeuS pour des attaques « Man-in-the-middle » (la fonction n’était, à l’époque, pas diffusée publiquement dans le malware).
S’ensuivent de longs mois de silence, la version publique de ZeuS n’ayant pratiquement pas évolué depuis ses premières versions diffusées en 2006-2007. Mais fin 2008, tout s’accélère, avec l’apparition de nouveaux mécanismes de chiffrement, et l’arrivée de la fameuse fonction BackConnect, permettant de prendre en main la machine infectée immédiatement après l’ouverture de la session sur le site de banque en ligne. Depuis, le procédé a été amélioré, le virus se connectant à un serveur SecureSocks pour notifier le pirate en temps réel via la messagerie instantanée Jabber.
Ces innovations ont conféré à ZeuS une versatilité hors du commun : le malware est en effet utilisé à la fois dans des attaques massives infectant des machines à grande échelle, et à la fois dans des attaques très ciblées visant des entreprises spécifiques.
En 2009, le codeur du malware devient également un peu plus visible ; il revendique la paternité du malware sur des forums, sous l’identité « Monstr » et sous plusieurs autres pseudonymes, que nous ne révélerons pas. Les innovations se succèdent jusqu’à la fin de l’année, jusqu’à un coup dur : en mars 2010, la chute de l’hébergeur pare-balles TROYAK (littéralement, « Troyen », en russe) provoqua la mise hors service de la moitié des serveurs de contrôle de ZeuS. Les pirates, visiblement échaudés par cet incident, ont depuis entrepris de dématérialiser leurs serveurs de contrôle, en les hébergeant en fast-flux – technique permettant d’héberger un contenu sur des milliers de machines compromises, configurées en proxy inversé.
Le Cert-Lexsi a eu l’opportunité de déchiffrer 3.500 fichiers de paramètres de souches ZeuS en circulation. Parmi les extensions présentant les cibles les plus populaires parmi les usagers du virus, on note évidemment l’extension .COM, au côté desquelles les extensions .ES (Espagne), .UK (Royaume-Uni), .DE (Allemagne), .RU (Russie), et .IT (Italie) figurent en bonne place. Quant à elle, l’extension .FR ne figure qu’à la neuvième place en termes de popularité des cibles nationales.
Et depuis le 13 avril, la version 2.0 de ZeuS, inédite, est diffusée sur le web. Ses innovations sont encore largement méconnues, mais on sait déjà que les identifiants volés sur une machine infectée ne sont plus stockés sur son disque dur, mais dans la base de registres Windows. Cette version est diffusée sur le fameux botnet JabberZeus : cela devrait assurer au nouveau-né un avenir doré.
No one missed it, the fix for the vulnerability in Windows Media Services that we reported to Microsoft was honored to be part of the small circle of patches pulled by the editor for not fixing the problem.
(Ref. Lexsi 
To ensure it will start on each system boot, game.exe copies itself in C:\Program Files\Microsoft Common\svchost.exe and sets itself as a debugger for explorer.exe. It connects to a command and control in Korea:
(© Erik J. Heels from iStockphoto.com)
S'il était encore besoin de s'en convaincre, depuis la chute de l'hébergeur pirate Russian Business Network, le phénomène des hébergeurs "pare-balles" n'a fait qu'empirer. De telles sociétés poussent comme des champignons, en prenant bien garde cette fois à rester sous le radar.
