Piratage : la guerre des gangs fait rage

Dans le jargon mafieux on ne dit plus « désosser l’ennemi », mais ,
« Ddosser l’ennemi? »

Des groupes organisés se livrent une véritable guerre en ligne, d’un coté il y a l’équipe pro-Srizbi de l’autre, celle des pro-Storm Worm.

Mafia, gang, quand « les Soprano’s » débarquent sur le Net, les pistolets ne sont pas loin. Des chercheurs en sécurité viennent de découvrir la preuve de l’existence d’une cyberguerre entre des groupes de pirates. Cette bisbille serait liée à l’une des boîtes à outils malware les plus sophistiquées du moment : MPack

Plutôt que de se tirer dessus pour la prise de pouvoir d’un quartier, ou pour l’obtention d’un chantier de plusieurs millions, ces gangs d’un genre nouveau se battent comme des chiffonniers pour prendre le contrôle de milliers de machines zombies qui sont administrés à distance par l’intermédiaire d’un réseau botnet. Autant dire qu’il ne fait pas bon être pirate indépendant, car la mafia recrute, de gré comme de force…

L’objet de ce conflit est le cheval de Troie Srizbi, un programme malveillant qui a été propagé par le Kit d’attaque MPack. Ce maudit canasson est utilisé pour transformer les ordinateurs en PC zombie, qui sont ensuite utilisés pour diffuser du spam. Srizbi est également connu des chercheurs pour avoir la capacité d’effacer les autres programmes malveillants par le code encore plus dangereux StormWorm.

« Les cybercriminels savent tout cela » explique Lawrence Baldwin, un chercheur qui a récemment observé des Storm zombies essayer de mener des attaques DDos sur le serveur Srizbi utilisé pour télécharger les fichiers d’installation du code. Pour l’instant, on ne sait pas, combien d’octets sont envoyés par les robots Storm, mais selon Baldwin qui a en vain essayé de reproduire l’attaque dans un environnement confiné, cela est  » impressionnant? »

« Cet envoi massif de données vers le serveur Srizbi »est, selon Baldwin :  » suffisant pour empêcher la malware MPack spam de se mettre à jour. »

Cette guerre entre cybergangs prouve que le crime électronique est en pleine évolution et que les « black hat » ont des moyens de plus en plus importants et sophistiqués.

D’un côté, on trouve un gang russe derrière MPack selon Symantec.

Le plus bel « exploit » de ce code malveillant a été de pirater près de 10.000 sites web en quelques jours. Ce dernier permet également de récupérer des informations sur la machine infectée comme l’adresse IP par exemple.

De l’autre, celui de Storm Worm… On ne connaît pas encore l’origine du gang derrière ce code. Mais ce ver est dérivé d’un code malveillant très puissant qui a touché les boîtes mails de milliers d’européens. Il tire son nom du message qu’il contient, en effet le Storm Worm ou ver de la tempête annonçait de terribles dépressions sur l’Europe du Nord, pour le mois de janvier 2007.

Storm utilise un protocole de type P2P, son contrôle est très décentralisé et il est donc particulièrement difficile à fermer ou à supprimer. Techniquement la nouvelle version de Storm n’est pas un ver, mais cela ne l’empêche pas d’envoyer de fausses e-card pour recruter de nouveaux zombies pour son réseau botnet. Notons que ce malware utilise beaucoup de ressources et procède à de nombreux scan du système à la recherche d’une vulnérabilité.

Cette affaire illustre parfaitement à quel point les pirates ont changé et prouve que cette pratique est de plus en plus rentable. Ces gangs organisés de spammeurs sont loin de disparaître et nos boîtes mails loin d’être propre.