Retour sur l’Opération Windigo

En mars 2014, nous avons publié un rapport sur ce que nous appelons Opération Windigo, un ensemble de logiciels malveillants côté serveur sous Linux utilisé pour rediriger du trafic Web, envoyer du courrier indésirable et héberger d’autres services et fichiers malveillants. C’était le résultat d’une recherche s’étendant sur près d’un an, formé d’une analyse en profondeur de ses différentes composantes, d’observations sur la façon dont elles étaient utilisées et de la manière dont elles étaient reliées ensembles. Nous étions très fiers de voir notre travail reconnu par l’industrie lors du VB2014, où notre rapport a reçu le prix Péter Szőr, récompensant la meilleure publication technique.

Au cœur de l’Opération Windigo se trouve Linux/Ebury, une backdoor OpenSSH qui vole les informations d'identification. Il a été installé sur des dizaines de milliers de serveurs. En utilisant ce backdoor, les attaquants pouvaient installer des logiciels malveillants supplémentaires pour rediriger du trafic Web (en utilisant Linux/Cdorked), envoyer du courrier indésirable (en utilisant Perl/Caldbod ou des tunnels SSH) et surtout, voler des mots de passe et clés quand le client OpenSSH est utilisé pour la propagation de l’attaque.

Depuis, nous avons rédigé plusieurs mises à jour au sujet de Windigo et d’Ebury. Aujourd’hui, nous vous présentons deux nouveaux articles : celui-ci au sujet de l’arrestation de Maxim Senakh, ainsi qu’une mise à jour technique sur les nouvelles variantes d’Ebury qu’on peut observer.

De quelle manière ESET collabore avec les forces de l’ordre?

En tant que chercheurs en logiciels malveillants chez ESET, l’un de nos rôles est de documenter les nouvelles menaces et de protéger nos clients contre celles-ci. La portée que nous donnons à notre mandat est cependant plus large : lorsque c’est possible, notre travail est aussi deprotéger l’ensemble des utilisateurs d’Internet. Nous pouvons y parvenir par des takedowns, des perturbations, ou même en donnant de l’aide dans l’arrestation de cybercriminels. Ces opérations ne peuvent pas être accomplies sans collaborer avec d’autres groupes et impliques généralement la participation de divers organismes chargés de faire respecter la loi.

Si les chercheurs en logiciels malveillants sont capables de décortiquer les logiciels malveillants, d’analyser leurs comportements, d’observer les similitudes dans le code de différents échantillons et de trouver des vestiges restant dans les fichiers malveillants, par exemple les horodatages de compilation, c’est aux forces de l’ordre que revient la tâche d’attribuer une cyberattaque à un individu ou à un groupe en particulier. Contrairement aux entreprises privées, les agents des forces de l’ordre peuvent, en toute légalité, saisir les serveurs de C&C, suivre les traces de transactions monétaires et collaborer avec les fournisseurs de services Internet (FAI) afin d’identifier les personnes à qui profitent le crime.

Dans le cas de Windigo, nous avons collaboré avec le FBI en leur fournissant des détails techniques sur l’opération malveillante et les composantes du logiciel malveillant impliqué. Ceci a permis aux enquêteurs du FBI de mieux comprendre les différentes parties composant ce schéma très complexe. Ils ont aussi utilisé notre rapport pour expliquer aux procureurs, avocats et juges ce qu’est Windigo.

L’histoire de Maxim Senakh

Ce n’est pas sans difficultés que le FBI a appréhendé l’un des conspirateurs derrière l’Opération Windigo. Le botnet Ebury était notamment monétisé par l’affichage de publicités indésirables aux visiteurs de sites Web dont les serveurs étaient compromis. Selon l’acte d’accusation le FBI a pisté l’argent des revenus générés par les réseaux publicitaires. Les annonces étaient consultées grâce au trafic généré par le botnet Ebury. Cette traque a menée à l’identification d’un citoyen russe utilisant plusieurs fausses identités pour enregistrer des noms de domaine utilisés à des fins malveillantes et pour gérer les transactions financières liées aux opérations publicitaires indésirables.

C’est le 8 août 2015 que Maxim Senakh a été arrêté à la frontière russo-finlandaise par les autorités finlandaises, à la demande des autorités fédérales américaines. Ceci ne s’est pas déroulé sans heurts : la Russie s’est ainsi objectée à l’arrestation et à la procédure d’extradition sur la base que les informations entourant les activités illégales de Senakh n’ont pas été transmises d’abord à la Russie. Peu de temps après, les États-Unis ont soumis une demande d’extradition au Ministère de la Justice finlandais, qui a acquiescé à cette requête après un processus d’évaluation complexe. Cette décision ne pouvait pas être portée en appel, et Senakh fut extradé aux États-Unis en février 2016, en attente de son procès.

Maxim Senakh avait plaidé non coupable au départ, ce qui implique que les deux parties ont dû se préparer pour un procès devant jury. Lors de cette préparation, ESET a été invité à témoigner à titre d’expert, pour expliquer ce que sont Windigo et Ebury, comment les découvertes, nombres et faits présentés dans notre rapport ont été recueillis et pourquoi elles sont fiables. Rédiger des rapports techniques sur les logiciels malveillants est une chose; témoigner en cour face à un présumé criminel en est une toute autre. Malgré la pression, nous avons accepté, en sachant que notre implication se limiterait aux aspects techniques de l’opération. La preuve de l’attribution était prises en charge par le FBI.

En mars 2017, Senakh a annoncé à la cour qu’il voulait changer son plaidoyer à « coupable » à un ensemble de chefs d’accusation réduits. Plus besoin d’aller en procès.

Il a été condamné au mois d’août à une peine de 46 mois dans l’état du Minnesota.

Voici un résumé du fil des événements :

  • 13 janvier 2015 : dépôt de 11 chefs d’accusation contre Maxim Senakh.
  • 8 août 2015 : Senakh est arrêté par les autorités finnoises à la frontière alors qu’il retournait en Russie suite à un voyage personnel.
  • 5 janvier 2016 : La Finlande acquiesce à l’extradition de Senakh.
  • 4 février 2016 : Senakh est extradé de la Finlande vers les États-Unis, où il plaide non coupable à l’ensemble des charges déposés à son encontre.
  • 28 mars 2017 : Senakh conclut une entente de plaidoyer avec le gouvernement américain et plaide coupable au premier chef d’accusation; les 10 autres sont abandonnés par le gouvernement.
  • 3 août 2017 : Senakh reçoit une peine de 46 mois dans une prison fédérale, sans possibilité de libération conditionnelle.

Le résultat – où se trouve maintenant Windigo?

Est-ce que l’arrestation de Maxim Senakh a sonné le glas du botnet de l’Opération Windigo? En partie seulement, selon nos observations.

Peu de temps après l’arrestation de Senakh en 2015, notre télémétrie a montré une forte diminution du trafic redirigé par Cdorked, la composante responsable de l’envoi de visiteurs web vers le kit d’exploits ou les pages de publicités non-désirées. Comme nous l’avons expliqué plus tôt, le FBI a déterminé que cette activité malveillante bénéficiait directement à Senakh. Cette activité n’a pas repris.

Nous ne sommes pas seuls à penser que ce module pourrait être éteint : deux semaines après l’arrestation de Senakh, Brad Duncan, chercheur en sécurité de Rackspace, a lui aussi constaté une baisse significative de l’activité de Windigo liée à la redirection de trafic Web.

C’est une bonne nouvelle. Cependant, Windigo n’a pas été complètement éradiqué. Nous avons observé de nouvelles variantes de Win32/Glupteba, un logiciel malveillant sous Windows ayant de forts liens avec Windigo. Glupteba agit comme proxy ouvert sur l’ordinateur compromis.

Enfin, la composante malveillante au cœur de Windigo, la backdoor Linux/Ebury, a évolué. Son développement s’est poursuivi et des changements importants ont été intégrés aux plus récentes versions, par exemple l’évasion de la plupart des indicateurs de compromission (IoC) publics, l’amélioration des protections contre une prise de contrôle hostile du botnet, ainsi qu’un nouveau mécanisme pour le camouflage des fichiers malveillants dans le système de fichiers. Pour plus de détails, lisez notre analyse complète sur la version mise à jour de Linux/Ebury.