Le 8 février 2016

Un peu plus de deux mois après une vaste opération des autorités russes contre l'activité d'un groupe criminel lié à la diffusion du Trojan.Dyre connu en 2015, celui-ci est de nouveau sous les projecteurs. Les médias reviennent sur ce sujet et annoncent que le malware qui cible des institutions financières dans le monde entier depuis l’été 2014 a été éliminé, ce qui n’est pas confirmé par les autorités. Cette fois, il s'agit presque d'une victoire sur ce programme malveillant qui terrorisait les grandes institutions financières du monde entier depuis l'été 2014. Mais les autorités policières ne sont pas hâtes à annoncer des réussites dans la lutte contre cette création du monde criminel.

Les analystes de Doctor Web ont suivi avec une grande attention la propagation du Trojan.Dyre et ont étudié son infrastructure. Tout d'abord, il est à noter que c'est un cas dit « classique » de mise en œuvre du modèle CAAS - crime-as-a-service. Les « clients de ce service » recevaient un builder pour générer des échantillons du Trojan qui permettait de changer souvent sa signature, le rendant ainsi presque invulnérable face aux logiciels antivirus. Toutes les données collectées par le Trojan sur les ordinateurs contaminés étaient envoyées aux serveurs C&C. Là, elles étaient traitées et enregistrées sur un panneau d'administration accessible aux « utilisateurs » ayant acheté des accès à ce panneau. Le panneau, quant à lui, était divisé en plusieurs parties fonctionnelles comme la gestion des bots ou les recherches dans les logs. En outre, il existait plusieurs groupes de panneaux. Toutes les données entrantes pouvaient être filtrées en fonction des informations que souhaitaient obtenir les cybercriminels (identifiants, mots de passe, etc.).

D’après les chercheurs de Doctor Web, l'infrastructure du Trojan.Dyre est assez unique car beaucoup plus compliquée que l'infrastructure d'autres Trojans bancaires ayant déjà fait parler d’eux. Généralement, les données provenant des ordinateurs contaminés sont envoyées au serveur sur lequel est installé le panneau permettant aux criminels de gérer leurs bots. Dans le cas du Trojan.Dyre, tout un jeu de différentes technologies a été utilisé, ce qui montre que le groupe criminel qui a développé et mis en œuvre ce projet dispose de ressources financières et humaines importantes. Ainsi, la réception et le traitement des données des bots ont été effectués sur des serveurs écrits en .Net, et les panneaux de gestion du botnet ont été écrits en utilisant le framework en php Kohana. Pour le stockage et le traitement des tableaux de données venant de presque tous les coins du monde, les bases de données postgres et mysql ont été utilisées, ainsi que le système de recherche plein texte sphinx. Toutes les données entrantes arrivaient sur des filtres spéciaux, servant à trier les informations intéressantes pour les criminels (identifiants, mots de passe, numéros de comptes bancaires, informations personnelles des utilisateurs, etc.). Pour protéger les serveurs contre la détection, des serveurs Tor et des serveurs proxy unis en réseau via openvpn ont été utilisés. Une des caractéristiques de l'attaque menée via le Trojan.Dyre est que les pirates utilisaient les routeurs piratés comme proxy en modifiant la table de routage. Les routeurs étaient piratés en utilisant une sélection de mots de passe trouvés par force brute, partant du fait que la plupart des utilisateurs ne changent pas les paramètres par défaut des routeurs et que certains n’imaginent même pas que les routeurs puissent être utilisés pour infecter des machines.

Les analystes de Doctor Web sont parvenus à identifier plusieurs adresses des serveurs C&C du Trojan. De plus, Ils ont pu révéler certains éléments de l'infrastructure du Trojan.Dyre et intercepter certaines connexions entrantes provenant de machines infectées. Cela a permis d'obtenir des informations importantes qui ont été rapidement transmises par les spécialistes de Doctor Web à un certain nombre de banques européennes ainsi qu'aux autorités policières dans plusieurs pays.

Malgré les informations publiées dans les médias, les chercheurs de Doctor Web estiment que le Trojan.Dyre représente toujours une menace dans la mesure où ils enregistrent régulièrement des envois de spam contenant des échantillons du Trojan, ce qui prouve que certains serveurs de son infrastructure sont toujours actifs. Jusqu'à maintenant, les analystes de la société constatent des envois spam contenant des échantillons du Trojan et il y a des raisons à considérer qu'il reste encore des serveurs de l'infrastructure qui n'ont pas cessé leur fonctionnement. Il s’agit très probablement d’une histoire à suivre.