Opération « Ghost Click » : démantèlement d’un réseau utilisant le malware DNSChanger

Date : 01 Décembre 2011

Le 9 novembre 2011, le FBI a rapporté, via un communiqué de presse, l’arrestation en collaboration avec les forces de police locales, de six Estoniens responsables d’avoir exploité un réseau de plus de 4 millions de postes infectés. Un acte d’accusation a été rendu public par la cour de justice fédérale de Manhattan. Cette opération de démantèlement a été baptisée « Ghost Click » par le FBI. En manipulant illégalement l’industrie de la publicité en ligne pendant 5 ans, cette cyber-fraude internationale a généré plus de 14 millions de dollars. Nous revenons sur cette affaire principalement pour deux raisons :

  • Premièrement, il s’agit d’un événement marquant dans l’actualité. Certains acteurs de la sécurité comme Trend Micro ont même titré l’événement de « Biggest Cybercriminal Takedown in History », que l’on pourrait traduire par le plus important démantèlement de réseau cybercriminel de l’histoire : 4 millions de machines infectées sur plus de 100 pays, détournement de plusieurs millions de dollars relatifs à l’industrie publicitaire, infection de nombreux postes au sein d’entreprises ou d’agences gouvernementales comme la NASA etc.
  • Les 4 millions de postes dont il est question étaient infectés par le cheval de Troie DNSChanger, un malware que nous avions déjà étudié dans un précédent article de notre bulletin en décembre 2008. L’actualité aujourd’hui nous permet en quelque sorte de « clore cette histoire » en complétant notre première analyse du malware. Nous expliquons en particulier ci-dessous comment les infections ont été monétisées et ont permis de rendre la fraude extrêmement rentable.

 

Quelques rappels sur DNSChanger

DNSChanger est un cheval de Troie pouvant affecter les systèmes Windows et Mac OS X, dont le mode d’infection et le fonctionnement de base sont assez classiques :

  • Il arrive sur un poste en se faisant passer pour un logiciel légitime. Il semble que dans beaucoup de cas pour DNSChanger, le prétexte soit un codec vidéo : la victime croit installer un plug-in vidéo, et se retrouve en réalité à installer le cheval de Troie sur son poste.
  • Le code utilise des fonctionnalités de type rootkit, qui lui permettent de se cacher et de rendre difficile sa suppression. Des chercheurs ont en effet découvert que DNSChanger était souvent distribué et associé au malware TDSS, dont la réputation en tant que rootkit n’est plus à faire.
  • Le cheval de Troie est capable de recevoir des instructions depuis un serveur de contrôle (serveur C&C). Dans le cas de DNSChanger, les instructions servent surtout à modifier la liste des serveurs DNS malicieux à utiliser.

La principale caractéristique de DNSChanger consiste à remplacer la liste des serveurs DNS du système infecté par une liste de serveurs contrôlés par le groupe cybercriminel.

 

Rappel : Le protocole DNS permet, à l’image d’un annuaire téléphonique, de retrouver l’adresse IP d’un serveur à partir d’un nom : c’est le processus de résolution DNS qui intervient automatiquement par exemple à chaque fois que l’on saisit une adresse web dans son navigateur ou que l’on clique sur un lien.

Lorsqu’un système est infecté et que les serveurs DNS par défaut ont été modifiés, le pirate dispose alors d’un contrôle total sur le trafic Internet du poste de la victime et peut le rediriger vers des sites qu’il contrôle. Le changement est difficilement détectable par l’utilisateur, car seuls certains sites sont substitués et ces derniers sont souvent conçus pour ressembler aux sites légitimes (Phishing). Dans le cas du réseau démantelé, les escrocs ont aussi utilisé leur contrôle sur le DNS pour empêcher les systèmes victimes d’obtenir les mises à jour du système d’exploitation ou des signatures antivirus, si bien que ces postes pouvaient devenir au fil du temps de plus en plus vulnérables à de nouvelles attaques.

En un mot, un utilisateur dont le poste était infecté par le malware DNSChanger se retrouvait à naviguer sur ce qu’on pourrait qualifier d’« Internet parallèle », entièrement contrôlé par le gang cybercriminel.

 

Schéma de la fraude, Monétisation du réseau

La publicité sur Internet est une industrie de plusieurs milliards d’euros au sein de laquelle les propriétaires de sites web vendent de l’espace publicitaire sur leurs sites : ces espaces se présentent majoritairement sous la forme de bandeaux ou de cadres dans lesquels la publicité apparaît. A cause du grand nombre de propriétaires de sites (diffuseurs), les annonceurs s’appuient et négocient souvent des contrats avec des régies publicitaires (des sociétés tierces) afin d’acheminer efficacement les messages publicitaires vers les diffuseurs (si l’on prend par exemple l’offre AdSense de Google, Google se place comme une régie publicitaire). De manière similaire, plutôt que de négocier des contrats individuellement avec les régies publicitaires, les diffuseurs se regroupent souvent en réseau de diffusion et négocient de manière collective.

Entre 2007 et 2011, les auteurs de la fraude ont créé et contrôlé plusieurs sociétés qui se sont fait passer pour des réseaux de diffusion publicitaire légitimes. Regroupées au sein d’une même entreprise mère (Rove Digital), ces sociétés ont négocié des contrats avec des régies publicitaires et des annonceurs de manière à être payées chaque fois qu’un internaute cliquait sur un lien vers un site web ou une publicité, ou bien chaque fois qu’une publicité était affichée sur un site web donné. Ainsi, en augmentant frauduleusement le trafic Internet vers les sites des annonceurs ou le nombre d’affichage d’une publicité, les hackers augmentaient les commissions que leur versaient les régies publicitaires.

On comprend désormais mieux le schéma de la fraude : en manipulant les réponses DNS envoyées aux 4 millions de postes utilisateurs infectés, le groupe de cybercriminels a rendu l’exploitation de ce réseau extrêmement rentable.

Les redirections DNS ont permis de mettre en place deux types de fraudes :

  • Le détournement de clics,
  • La substitution de publicité.

 

Détournement de clics

Lorsque l’utilisateur d’un poste infecté cliquait sur un lien présent dans les premiers résultats d’un moteur de recherche (type Google), le serveur DNS malicieux provoquait une redirection vers un site web choisi par les fraudeurs. Dans ce cas, chaque clic provoquait le paiement d’une commission au groupe cybercriminel qui venait ainsi se substituer au diffuseur légitime (le moteur de recherche en l’occurrence). Quelques exemples sont donnés dans l’acte d’accusation :

  • Lorsqu’un utilisateur d’un poste infecté cliquait sur un lien pointant vers le domaine du service des impôts américain, il tombait à la place sur le site de « H&R Block », une société spécialisée dans l’optimisation des déclarations d’impôts.
  • Un autre exemple : lorsqu’une victime cliquait sur un lien pointant vers le domaine d’Apple iTunes (itunes.apple.com), il était redirigé vers « www.idownload-store-music.com », un site n’ayant aucun lien avec Apple et prétendant vendre des logiciels de la firme à la pomme. Fait intéressant, quelques jours après l’arrestation des escrocs et l’annonce du FBI, Apple a corrigé une faille dans son logiciel iTunes (voir l’avis CERT-IST/AV-2011.640) qui permettait de mettre en place une attaque de type « man-in-the-middle » lors du processus de mise à jour du logiciel. D’après le site « The Register », cette vulnérabilité aurait permis aux escrocs de rediriger, via leurs serveurs DNS frauduleux, des victimes vers des sites de leur choix, augmentant au passage les revenus générés par ce trafic. Notons que la faille d’iTunes aurait même pu permettre aux fraudeurs d’installer chez les victimes une version piégée du logiciel, ou de faux antivirus dans un but de gains financiers supplémentaires.

  

La substitution de publicités

Dans ce cas de fraude, le malware DNSChanger et les serveurs DNS malicieux étaient utilisés pour remplacer le contenu de cadres publicitaires de certains sites, dans le but de provoquer des paiements de commission au groupe cybercriminel. Les publicités qui apparaissaient à la place concernaient en effet des sociétés avec lesquelles les fraudeurs avaient négocié des contrats. Là encore, l’acte d’accusation donne quelques exemples :

  • Lorsqu’un utilisateur d’un système infecté visitait le site Amazon.com, une publicité pour Windows Internet Explorer 8 était remplacée par une publicité pour un service de marketing par e-mail.
  • Lorsqu’un utilisateur d‘un système infecté visitait la page du « Wall Street Journal », une publicité pour une carte American Express était remplacée par une publicité pour « Fashion Girl LA. ».

 

Conséquences de la fraude

L’acte d’accusation publié évoque un détournement d’une somme globale de 14 millions de dollars. Au-delà de ce chiffre, il est intéressant de noter les conséquences, parfois difficiles à chiffrer, pour les différentes victimes :

  • La fraude a privé de revenus importants un grand nombre de propriétaires de sites (diffuseurs) et d’annonceurs via les détournements de clics et les substitutions de publicités. Par exemple, des moteurs de recherche n’ont probablement pas touché de commission lorsqu’un utilisateur cliquait sur certains résultats sponsorisés.
  • Les clients du réseau publicitaire frauduleux Rove Digital ont payé des commissions relatives à des publicités sur lesquelles les utilisateurs n’avaient pas l’intention de cliquer, autrement dit pour des utilisateurs qui n’étaient pas intéressés.
  • La fraude a représenté une atteinte à la réputation pour les sociétés qui ont payé pour des contrats publicitaires sur Internet, mais qui ne souhaitaient évidemment pas que les utilisateurs soient frauduleusement redirigés vers leurs sites.
  • Enfin, il ne faut pas oublier l’impact, non mesurable, pour les utilisateurs finaux dont le poste a été infecté. Ceux-ci ont pu perdre de l’argent en effectuant des transactions sur de faux sites (comme celui prétendant vendre des logiciels Apple). Rappelons aussi que les réponses des serveurs DNS malveillants empêchaient un système infecté d’obtenir les mises à jour de sécurité ainsi que les dernières signatures antivirus, le laissant à la merci d’attaques, d’autres chevaux de Troie ou logiciels espions.

 

Démantèlement

Le démantèlement du réseau DNSChanger est loin d’être une opération triviale. Il ne suffit pas ici de désactiver tous les serveurs C&C comme les autorités peuvent le faire pour un botnet classique. En effet dans notre cas, les millions de postes infectés se connectent aux serveurs du réseau malveillant pour effectuer des requêtes DNS, et seraient privés d’Internet si tous ces serveurs étaient brutalement arrêtés. Pour éviter cela, les autorités américaines ont décidé de remplacer les serveurs DNS frauduleux par des résolveurs DNS sains, et a demandé à l’ISC (Internet Systems Consortium) d’administrer ces serveurs pendant quelques mois, le temps que les utilisateurs puissent désinfecter leurs postes et rétablir une configuration DNS normale.

Le FBI rappelle que le remplacement des serveurs ne désinfecte pas les systèmes et qu’il est important en cas de doute de vérifier sa configuration DNS. Le bureau américain fournit à cet effet un outil en ligne pour contrôler que les serveurs DNS utilisés par un système ne sont pas connus comme malveillants.

 

Pour plus d’informations

Précedent Précedent Suivant Suivant Imprimer Imprimer