Passer au contenu

Attaque contre Target : la piste remonte vers un jeune Russe de 17 ans

Les instances gouvernementales américaines sont en alerte. Le malware a probablement infecté d’autres chaînes de distribution, un secteur qui attire les cybercriminels de tous bords.

Le siphonnage des données bancaires de 110 millions de clients du distributeur américain Target n’est peut-être que la partie visible d’un énorme iceberg à la dérive. Plusieurs sociétés de sécurité ont publié, ces derniers jours, leurs analyses de ce cybercrime. Conclusion : il est probable que l’attaque informatique soit bien plus large que cela et qu’elle soit réalisée par un réseau mafieux lié aux cybercriminels russes.

iSight Partners a pu analyser le malware qui s’est introduit chez Target et l’a baptisé Trokan.POSRAM.  C’est un dérivé d’un autre code malveillant dénommé « BlackPOS » qui, selon les spécialistes d’IntelCrawler, a été créé en mars 2013 par un jeune russe de 17 ans, dénommé Rinat Shibaev. Le code a aussi été observé sous d’autres noms, tels que « Kaptoxa » (« patate » en russe) ou « Dump Memory Grabber ». Toutefois, ce n’est pas ce jeune homme qui serait l’auteur de ces attaques mais plutôt ses « clients », d’autres criminels à qui il a vendu son programme. A l’époque, il proposait son code pour 2000 dollars ou, alternativement, pour 50 % des recettes issues de la vente des données bancaires sur le marché noir. Business is business.

Un siphonnage en deux phases

D’après la société Seculert, l’attaque Target s’est déroulée en deux phases. Dans un premier temps, le malware a infecté les terminaux de points et stocké, ni vu ni connu, les données bancaires des clients. Puis, au bout d’une petite semaine, il a commencé à transmettre ces données à un serveur FTP externe, en passant par une autre machine infectée du réseau informatique de Target. Ces transmissions se faisaient plusieurs fois par jour pendant deux semaines. Les experts de Seculert estiment qu’environ 11 GO de données ont pu être exfiltrés de cette manière. Enfin, un serveur privé virtuel situé en Russie a récupéré les données sur le serveur FTP, tout en prenant soin de les effacer par la suite.

Les avis sont moins tranchés, en revanche, sur l’étendue de l’attaque. Dans son investigation, Seculert n’a pas pu mettre en évidence d’autres victimes que le distributeur Target. IntelCrawler, de son côté, estime probable que le même malware ait également attaqué le distributeur Neiman Marcus. Ce dernier avait également annoncé un piratage de son système en décembre, tout en restant très discret sur les détails techniques.

Un « marché » en pleine expansion

La société iSight Partners va encore plus loin et pense que ce malware a « potentiellement infecté un grand nombre de systèmes d’information du secteur du commerce ». Cette société a d’ailleurs participé à la rédaction d’une note d’information gouvernementale qui a été envoyée aux principaux distributeurs américains la semaine dernière. Ce document indique aux administrateurs comment vérifier si leurs systèmes n’ont pas été infectés. Il les alerte également sur la détermination des cybercriminels. « Nous pensons qu’il y a un gros marché pour le développement de malware dédié aux terminaux de points de vente, et la demande est en train de croître », estiment les auteurs de ce rapport, d’après Reuters. D’autres malwares connus dans ce segment sont Dexter et vSkimmer.     

Lire aussi:

Vol de données de 110 millions de clients chez un distributeur américain, le 13/01/2014

Sources:

Les analyses de iSight, Seculert et IntelCrawler.
L’article de Reuters.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn