Zeus (cheval de Troie)
Zeus est un cheval de Troie destinĂ© Ă voler des informations bancaires par rĂ©cupĂ©ration de formulaire, keylogger et attaques en man-in-the-browser. Le virus se transmet par simple visite sur un site infectĂ© via un «exploit». IdentifiĂ© pour la premiĂšre fois en alors qu'il est utilisĂ© pour voler des informations au dĂ©partement des Transports des Ătats-Unis[1], il devient trĂšs rĂ©pandu en . En , la sociĂ©tĂ© de sĂ©curitĂ© informatique Prevx dĂ©couvre que Zeus a compromis au moins 74 000 comptes FTP sur des sites de grandes compagnies, incluant Bank of America, NASA, Monster.com, ABC, Oracle, Play.com, Cisco, Amazon, et BusinessWeek[2].
En 2009, les multiples botnets de Zeus sont estimĂ©s Ă plusieurs millions d'ordinateurs compromis (environ 3,6 millions aux Ătats-Unis[3]). Le , 1,5 million de messages d'hameçonnage (phishing) sont envoyĂ©s sur Facebook dans le but de transmettre Zeus. Le , un couple est arrĂȘtĂ© pour utiliser sciemment Zeus afin de voler des donnĂ©es personnelles. Les 14 et , Zeus est transmis par des e-mails prĂ©tendant venir de l'entreprise de tĂ©lĂ©communications Verizon Wireless. Un total de 9 millions d'e-mails ont Ă©tĂ© envoyĂ©s[4].
Différentes attaques sont signalées en 2010[5] - [6], parmi lesquelles, celle révélée par l'entreprise de sécurité Trusteer, indiquant que les cartes de crédit de 15 banques américaines (les noms de ces banques n'ont pas été dévoilés) sont compromises[7].
Le , le FBI annonce avoir dĂ©mantelĂ© un rĂ©seau majeur du cyber-crime international qui a utilisĂ© Zeus pour s'introduire dans des ordinateurs amĂ©ricains et voler environ 70 millions de dollars[8]. Plus de 90 personnes suspectĂ©es d'appartenir au rĂ©seau sont arrĂȘtĂ©s aux Ătats-Unis mais aussi au Royaume-Uni et en Ukraine.
En , le code source de la version alors en vigueur de Zeus est divulgué et, en octobre, le blog abuse.ch fait part d'une nouvelle version du cheval de Troie s'appuyant sur des capacités de peer-to-peer complexes[9].
Prolifération
Le cheval de Troie Zeus est prĂ©sent dans 196 pays, parmi lesquels certains sont isolĂ©s comme la CorĂ©e du Nord. Les 5 pays les plus touchĂ©s (en nombre de machines infectĂ©es) sont l'Ăgypte, les Ătats-Unis, le Mexique, l'Arabie saoudite et la Turquie. En tout, 2 411 entreprises et organisations ont dĂ©clarĂ© avoir subi des opĂ©rations criminelles dues Ă un botnet de Zeus.
SystÚme d'exploitation visé
Zeus cible les ordinateurs sous Windows. Il ne peut marcher sous Mac OS et Linux. En 2012, des chercheurs du laboratoire Kaspersky ont découvert cinq nouvelles variantes de Zeus infectant les téléphones BlackBerry et ceux utilisant Android.
Informations compromises
Les pirates peuvent modifier le logiciel afin de voler seulement les informations qui les intéressent, comme des login de comptes de réseaux sociaux, de comptes mails, de comptes bancaires en lignes. D'aprÚs un rapport de la société Netwitness, les sites les plus touchés par ces vols de login sont Facebook, Yahoo!, Hi5, Metroflog, Sonico et Netlog.
DĂ©tection et retrait
Zeus est furtif, il est trĂšs difficilement dĂ©tectable mĂȘme avec un antivirus Ă jour. C'est la principale raison pour laquelle cette famille de malware a le plus grand botnet d'internet : rien qu'aux Ătats-Unis, 3,6 millions d'ordinateurs sont infectĂ©s.
RĂ©action du FBI
En , le FBI annonce qu'en utilisant Zeus, les pirates informatiques originaires d'Europe de l'Est avaient réussi à infecter de nombreux ordinateurs dans le monde. Le virus est dissimulé par e-mail, et lorsque les individus ou organisations visés ouvraient ces courriels, le logiciel malveillant s'installait sans confirmation sur l'ordinateur, volant secrÚtement les mots de passe, numéros et autres données bancaires.
Plus d'une centaine d'individus ont Ă©tĂ© arrĂȘtĂ©s pour fraudes bancaires et blanchiment d'argent. 90 d'entre eux rĂ©sidaient aux Ătats-Unis et les autres Ă©taient originaires du Royaume-Uni et d'Ukraine[10].
Avant leur arrestation, les membres de cette organisation ont réussi à voler 70 millions de dollars.
Disparition
Ă la fin de l'annĂ©e 2010, plusieurs vendeurs en sĂ©curitĂ© internet comme McAfee et frInternet Identity (en) affirment que le crĂ©ateur de Zeus a dit avoir pris sa retraite et donnĂ© le code source de Zeus ainsi que les droits de vente Ă son plus grand concurrent, le crĂ©ateur du cheval de Troie SpyEye. NĂ©anmoins, les mĂȘmes experts se mĂ©fient, ils pensent que cette retraite est une ruse et que le pirate va revenir avec de nouvelles astuces[11].
Le , les codes source et fichiers binaires compilés sont retrouvés sur l'hébergeur GitHub[12].
Le 23 octobre 2022, l'ukrainien Vyacheslav Igorevich Penchukov est arrĂȘtĂ© Ă GĂ©nĂšve par la police fĂ©dĂ©rale suisse. Penchukov est soupçonnĂ© d'avoir volĂ© et extorquĂ© des millions de dollars en utilisant le malware Zeus. Le minist-re de la justice amĂ©ricain a demandĂ© l'extradition de Penchukov[13].
Notes et références
- (en) Jim Finkle, « Hackers steal U.S. government, corporate data from PCs », Reuters, (consulté le ).
- (en) Steve Ragan, « ZBot data dump discovered with over 74,000 FTP credentials », The Tech Herald, (consulté le ).
- (en) « UAB computer forensics links internet postcards to virus », The Hindu, (consulté le ).
- (en) « New Verizon Wireless-themed Zeus campaign hits », SC Magazine, (consulté le ).
- (en) Dan Goodin, « Almost 2,500 firms breached in ongoing hack attack », The Register, (consulté le ).
- (en) Siobhan Gorman, « Broad New Hacking Attack Detected », Wall Street Journal, (consulté le ).
- (en) Raju PP, « Zeus/Zbot Trojan Attacks Credit Cards of 15 US Banks », TechPP, (consulté le ).
- (en) FBI, « Cyber Banking Fraud Global Partnerships Lead to Major Arrests », (consulté le ).
- (en) Peter Kruse, « Complete ZeuS sourcecode has been leaked to the masses », (consulté le ).
- (en) BBC, « More than 100 arrests, as FBI uncovers cyber crime ring », BBC News, (consulté le ).
- (en) Diane Bartz, « Top hacker "retires"; experts brace for his return », Reuters,â (lire en ligne, consultĂ© le ).
- (en) Visgean/Zeus.
- (en) Sergiu Gatlan, « Suspected Zeus cybercrime ring leader âTankâ arrested by Swiss police », Bleeping Computer, (consultĂ© le )
- (en) Cet article est partiellement ou en totalitĂ© issu de lâarticle de WikipĂ©dia en anglais intitulĂ© « Zeus (Trojan horse) » (voir la liste des auteurs).