Passer au contenu

On peut reconnaître un cybercriminel au style de son code

Les développeurs de malware ont tous leurs petites habitudes et cela transparaît dans le code qu’ils produisent. Les chercheurs de Check Point ont ainsi retrouvé la trace d’un auteur particulièrement prolifique.

La création de malware est, depuis des années déjà, un processus quasi industriel où certains développent des modules logiciels et d’autres les intègrent en fonction de la campagne de piratage envisagée. C’est devenu un business bien rodé, où chacun a sa place. Pour autant, cette industrialisation a ses limites et, comme viennent de le constater les chercheurs en sécurité de Check Point, la marque de fabrique d’un hacker transparaît parfois à travers son code.

En analysant des exemplaires de malwares, ces experts ont ainsi réussi à créer le profil d’un auteur particulièrement prolifique, spécialisé dans l’exploitation de failles dans le kernel Windows. En effectuant des recherches sur un certain nombre de points clés — la cryptographie utilisée, la déclaration des constantes, l’implémentation des fonctions, la structure du code, etc. — ils ont retrouvé la trace de ce hacker dans les malwares d’une petite dizaine de groupes de pirates très différents. Une clientèle illustre, car on y trouve des cyberespions étatiques comme APT28 ou Turla, tout comme des cybercriminels de haut vol tels que GandCrab ou FIN8.

Check Point – Les éléments qui permettent de créer le profil d’un développeur de malware

En réalité, cet auteur n’est pas totalement inconnu. Il s’est déjà fait remarquer à plusieurs reprises dans les forums russes de cybercriminels, où il se fait appeler Volodya, Volodimir ou BuggiCorp. Il n’est pas rare qu’il propose sur ces sites des failles 0-day pour plusieurs centaines de milliers de dollars. Celles-ci se retrouvent d’ailleurs plutôt dans les malwares des pirates étatiques que dans ceux du cybercrime. C’est probablement une question de budget.

Check Point – Les clients de Volodya/Volodimir

En tous les cas, cette analyse montre qu’il est possible de retrouver la trace d’un développeur de malware simplement en regardant son style. Et par conséquent d’avoir une idée sur les groupes avec lesquels il est en affaire. Une perspective intéressante pour les spécialistes de la « cyber threat intelligence », ces experts qui cherchent à identifier et à comprendre les différents acteurs du piratage informatique.

Source: Check Point

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN