=TKM= MultiGaming :: Forums :: Le coin des visiteurs :: News
 
<< Previous thread | Next thread >>
Fraude et BotNet
Moderators: NiTriK, DANTAFACE, Writers, 夏侯l9IG
This thread is now closed
Author Post
Writers
Thu Jul 29 2010, 12:35pm
Spiral Knights


Registered Member #14
Joined: Tue Nov 10 2009, 10:18am
Posts: 1068
 Selon SecureWorks, le botnet ZeuS servait les fins d'une organisation criminelle russe qui l'aurait utilisé pour détourner des millions de dollars en chèques.
La fraude aux chèques est un crime un peu dépassé à l'heure du numérique. Une organisation criminelle russe utilise pourtant des techniques de cybercrime pour réaliser des opérations de falsifications de chèques automatisées s'élevant à plusieurs millions de dollars de préjudice. Elle passe notamment par l'utilisation de botnets, de bases de données financières et d'archives de chèques numérisés. L'organisation, surnommée BigBoss suite à la découverte du nom sur un serveur utilisé durant la fraude massive, a été mise au jour par des chercheurs de SecureWorks. Joe Stewart, directeur d'analyse des malwares pour l'entreprise, précise qu'il s'est aperçu de l'existence de BigBoss durant l'analyse de code botnet sur Internet.

Une large récolte d'informations bancaires

Les botnets sont des systèmes de commande très élaborés, utilisés par les criminels pour contrôler les PC infectés. Ceux sur lesquels SecureWorks effectuait ses recherches, les « ZeuS », sont principalement utilisés pour des délits bancaires, comme le vol d'informations bancaires et le transfert de fonds. Mais Joe Stewart admet que c'est la première fois qu'il relie un de ces codes à une combine de fraude sur chèques. « Je suis tombé sur un échantillon de ZeuS utilisant un tunnel VPN, ce qui était pour le moins inhabituel. Ils étaient en train d'accéder à des archives de copies numériques de chèques, et en téléchargeaient massivement. Ils s'étaient au préalable introduits dans des services d'encaissement ou même des bases de données d'entreprises ». C'est en utilisant la faiblesse de certaines authentifications et l'introduction de vulnérabilités dans les bases SQL des entrepôts de stockage de chèques que BigBoss serait parvenu à les infiltrer. Ironiquement, certaines des images de chèques proviendraient d'un réseau anti-fraude dédié aux commerçants acceptant ce système de paiement. L'organisation criminelle cherchait non seulement ces numérisations, mais aussi le numéro de routage ABA, celui du compte, le nom de l'entreprise et son adresse, et une image de la signature autorisée, le tout pour des milliers de sociétés.

Au final, l'arnaque a exploité frauduleusement 3285 chèques durant les douze derniers mois, totalisant près de 9 millions de dollars afin de piéger les banques pour qu'elles reversent les sommes à travers des comptes d'entreprises légales. Ils étaient dupliqués sur papier avec une précision confondante par le réseau criminel qui entretient apparemment des liens étroits avec la ville de St Petersbourg dans laquelle le groupe voulait transférer l'argent.

Des mules américaines

Les sommes étaient payées à des individus recrutés aux Etats-Unis par l'organisation et qui devaient reverser l'argent sur des comptes créés par BigBoss. Certaines de ces personnes pensaient même qu'il s'agissait d'un réel emploi pour une compagnie finlandaise. Quelques unes des façades étaient épelées avec des fautes d'orthographes suspicieuses, comme Succes Payment ou Global Busines Payment. Les recrutés agissaient donc comme des « mules », acceptant la tâche de déposer les chèques reçus dans leurs propres comptes et de transférer la somme en Russie après coup.

Selon les estimations de SecureWorks, ces mules gagnaient une commission de 15% si elles parvenaient à encaisser les chèques en une journée, ou 8% si elles mettaient plus de temps. BigBoss disposait d'une réserve de 2884 noms de candidats à ce poste ou ayant été contactés par l'organisation suite au dépôt d'une annonce d'emploi sur Internet. Par ailleurs l'organisation aurait aussi piraté des bases de données dédiées à la recherche d'emploi pour dénicher ses recrues.

Il n'est pas encore établi si ces mules avaient connaissance de l'illégalité de leurs activités, mais Joe Stewart en a contacté une douzaine, et a même été frapper à la porte de deux de ces individus pour entendre directement leur version des faits. « Ils ont su directement de quoi je leur parlais. Ils ont souvent admis ne pas avoir compris dans un premier temps ce qui leur arrivait après avoir été contactés par BigBoss, mais au bout d'un certain moment, ils avaient fini par réaliser de quoi il s'agissait ». Une de ces mules a même expliqué que lorsqu'elle ne donnait pas, au bout de deux jours, les informations concernant le transfert de fond, le groupe n'abandonnait pas pour autant. Il lui téléphonait et réclamait l'argent, avec notamment une femme parlant anglais avec un accent russe.

Rester sous le radar des banques

La limite des chèques était de moins de 3000 $ (plutôt entre 2700 et 2900 en général), pour ne pas éveiller les soupçons des banques américaines qui ont certaines obligations lorsque le montant dépasse ce palier. Pourtant, certaines d'entre elles ont malgré tout remis en question la validité de ces chèques, ajoute Joe Stewart, notant qu'il est encore difficile de dire à quel point BigBoss a réussi son coup. SecureWorks a évidemment partagé sa trouvaille avec la justice américaine, et recommande aux entreprises d'utiliser un service appelé « Positive Pay » pour éviter de telles escroqueries.

Même si la plupart des opérations de BigBoss se déroulaient à partir de la Russie et via Internet, il pourrait y avoir eu complicité sur le territoire américain étant donné que la livraison des chèques se déroulait de nuit à partir d'endroits situés aux Etats-Unis. D'après Joe Stewart, l'utilisation d'un trafic crypté par VPN était un moyen d'empêcher la détection des transferts frauduleux par des dispositifs IPS/IDS. « Le principal usage du tunnel VPN était d'autoriser le pirate à rediriger le trafic vers les bots, outrepassant les firewalls et la translation d'adresse qui bloqueraient en principe les connexions provenant d'Internet ». En trois mois, SecureWorks a été en mesure de comprendre les objectifs réels de ce botnet en l'analysant au même titre que tout autre PC infecté.
Source : [site]


[ Edited Thu Jul 29 2010, 12:35pm ]
CS un jour, CS toujours ... \\//\\// Dans Linux, il y a un noyau. Dans Windows, des pépins...

Userbars
BadC0mpany2
Back to top
Writers
Thu Jul 29 2010, 12:36pm
Spiral Knights


Registered Member #14
Joined: Tue Nov 10 2009, 10:18am
Posts: 1068
 Et un 2eme dans la foulée :
Le créateur du butterfly bot et fondateur du site de black market darkode.com, arrêté. Il était connu sur la toile pour être le créateur de BFBOT, le bot Butterfly. Ce bot, qui était revendu sur certains espaces très privés, dont le site Darkcode, aurait servi à la création du botnet Mariposa. Originaire de Slovénie, Iserdo, l'auteur de ce logiciel de piratage et fondateur de DarkCode a été arrêté par le FBI dans un appartement de luxe. ButterFly Network Solution (bfsystems.net) était commercialisé entre 350 et 1.100 euros. Les actions du bots étaient ensuite louées, de 100 et 200 euros, par d'autres pirates. Butterfly aurait permis la fabrication d'un autre outil malveillant du nom de Mariposa. D'ailleurs, au moment ou vous lirez cette brève, la Garde Civile Espagnole est en train de parler, entre quatre yeux, aux pirates hispaniques arrêtés ces dernières heures. Ce bot aurait fait plusieurs millions de victimes, transformant les ordinateurs d'internautes en zombis dociles. Le FBI parle de 13 millions de machines touchées dont 750 grandes entreprises américaines et une quarantaine de banques. BFF était arrivé à sa version 1.11 en mai dernier en proposant plusieurs modules, selon le prix acquitté par les acheteurs. Le pirate se faisait payer par MoneyGram, WebMoney et Western. Deux autres personnes ont été arrêtées, d'anciens élèves de la faculté des sciences informatiques de Maribor.

Source : [site]

CS un jour, CS toujours ... \\//\\// Dans Linux, il y a un noyau. Dans Windows, des pépins...

Userbars
BadC0mpany2
Back to top
petit-alesk
Thu Jul 29 2010, 12:53pm

Registered Member #115
Joined: Sun Apr 18 2010, 08:29pm
Posts: 349
 beaucoup trop long pour moi j'abndonne --'.
un COURT résumer svp
Back to top
Writers
Thu Jul 29 2010, 04:24pm
Spiral Knights


Registered Member #14
Joined: Tue Nov 10 2009, 10:18am
Posts: 1068
 lol
CS un jour, CS toujours ... \\//\\// Dans Linux, il y a un noyau. Dans Windows, des pépins...

Userbars
BadC0mpany2
Back to top
Writers
Thu Jul 29 2010, 05:23pm
Spiral Knights


Registered Member #14
Joined: Tue Nov 10 2009, 10:18am
Posts: 1068
 Encore une petite pour la route :

Les distributeurs de billets de banque sont très protégés mais leurs systèmes ne sont pas inviolables. Démonstration sur scène lors de la Black Hat, par Barnaby Jack.

La Black Hat, un vaste événement autour de la sécurité informatique, se déroule actuellement et Barnaby Jack (spécialiste chez IOActive) y a tenu une conférence autour des distributeurs de billets de banque qui a retenu l'attention. Il faut dire qu'il devait tenir cette conférence l'année dernière, mais que sous la pression d'un fabricant de distributeurs celle-ci avait été annulée. Ce dernier a donc insisté sur les failles physiques et logicielles de ces automates, précisant toutefois que certaines d'entre-elles, exploitées lors de ses démonstrations, sont parfois d'ores et déjà corrigées en réalité. Il n'empêche que Barnaby Jack a montré qu'il existe des failles qui permettent de transformer un distributeur automatique de billets de marques Triton et Tranax en machine à sous.

Deux démonstrations ont été faites. La première, en s'attaquant au distributeur avec une clé maître achetée sur Internet puis en utilisant un périphérique USB permettant d'en modifier le firmware. La seconde, en s'attaquant au logiciel du distributeur à distance, exploitant une faille dans l'authentification des mises à jour distantes des distributeurs. Dans les deux cas, les distributeurs hackés tournaient sous Windows CE.

Bien sûr, dans la première hypothèse, il faut avant de pouvoir s'attaquer à la machine avoir réussi à désactiver le système d'alarme généralement relié aux distributeurs, ce qui n'est pas une mince affaire. Mais une fois en contact avec les composants informatiques, les protections des distributeurs seraient dans la plupart des cas faciles à briser. Des clés que l'on trouverait même assez facilement sur les forums de piratage sur la Toile et grâce auxquelles il est ensuite possible d'accéder au cœur du système, comme avec un périphérique USB dans la démonstration de Barnaby Jack.

Malgré tout, c'est l'attaque distante qui a le plus impressionné l'assistance, l'expert ayant réussi à implanter un rootkit dans le système du distributeur en faisant passer une mise à jour de celui-ci comme étant tout à fait valide. Grâce à un outil logiciel conçu par ses soins, et après avoir pris le contrôle de certains paramètres du distributeur, Barnaby Jack a pu extraire des données sensibles et même commander un retrait en direct sur le distributeur. Pour l'effet de scène, Barnaby Jack avait créé un mode "Jackpot", faisant littéralement cracher des billets au distributeur.

Un représentant de Triton, présent sur la Black Hat, a fait savoir qu'une mise à jour de ses distributeurs avait été faite en fin d'année dernière pour éviter ce genre de détournements, sur les conseils de Barnaby jack. L'expert étant bien évidemment à la disposition de ces constructeurs pour leur expliquer comment mieux protéger leurs systèmes, même si ses conseils ne seront certainement pas gratuits...


C 'est la fin de la BlackHat ...


[ Edited Thu Jul 29 2010, 05:58pm ]
CS un jour, CS toujours ... \\//\\// Dans Linux, il y a un noyau. Dans Windows, des pépins...

Userbars
BadC0mpany2
Back to top
NiTriK
Thu Jul 29 2010, 06:33pm
Admin


Registered Member #1
Joined: Mon Nov 09 2009, 02:09pm
Posts: 533
 Tu m'étonne que ses conseils ne vont pas être gratuit.

Ça serais moi je les ferais, je leur demanderais un bon gros gros gros billet .


Mon cœur s'est accroché au tient, comme une merde au cul d'un chien. L'envie de te faire l'amour me dévore...Mais l'envie de chier est encore plus forte...
Back to top
Writers
Thu Jul 29 2010, 06:59pm
Spiral Knights


Registered Member #14
Joined: Tue Nov 10 2009, 10:18am
Posts: 1068
 Oui C clur Sinon il s'agit de 3 news différentes, pour ce qui on pas le courage de tt lire. Pour résumé, la news 1 est client de la news 2. Et la news 3, est utilisé par les gens de la news 1, grâce au boulot du type de la news 2

[ Edited Fri Jul 30 2010, 11:00am ]
CS un jour, CS toujours ... \\//\\// Dans Linux, il y a un noyau. Dans Windows, des pépins...

Userbars
BadC0mpany2
Back to top
 

Jump:     Back to top
Syndicate this thread: rss 0.92 Syndicate this thread: rss 2.0 Syndicate this thread: RDF
Powered by e107 Forum System