La compagnie Finjan via son Malicious Code Research Center à publier un rapport sur la cybercriminalité et son organisation. Le but que c’est fixé cette organisme est justement de s’intéresser au comportement émergeant dans le piratage sur Internet et de les analyser. Ils sont allés jusqu’à parler avec différentes personnes impliqués dans ces réseaux.
Tout d’abord, ils reviennent sur l’historique du piratage depuis le “hack for fame” vers l’organisation et la monaitisation de celui-ci. Au début, des exploits ont commencés à être vendu aux plus offrants puis la professionalisation a encore passé une étape avec la fourniture de kit tout-en-un pour le piratage et la génération d’exploit comme mpack. Ensuite, cela a continué avec une augmentation de la qualité de ces packs et une mise à jour régulière. Relativement récemment, des systèmes puissants permettant un monitoring et une sous-location des botnets à réellement permis à leurs possesseurs de lancer dans le marché de la vente de puissance de calcul pour des activités illégales. Au début de l’année, des services de type Crimware-As-Service ont commencé à émerger avec des buissness modéle proche des sociétés de service informatique classique. Finalement, la dernière chose à la mode est la fourniture direct de donnée déjà récolté par divers méthodes de malwares et d’intrusion. Les clients peuvent donc acheter et diposer directement des données. Avec la mise en place de grille de prix, d’avantages, etc, la cybercriminalité a désormais un modéle proche du monde réel qui brasse beaucoup d’argents. Il y a eu par exemple des réquilibrages de prix pour les cartes bleue volées qui sont passé de 100$ à 10-20$ l’unité.
Ce qui a également beaucoup évoluer dans la cybercriminalité ces dernières années et le passage d’une organisation où chacun était indépendant ou de petits équipes non structurés vers une organisation proche de celle de la mafia. On retrouve donc un “Boss” qui contrôle l’ensemble mais ne commet rien d’illégal lui-même. Ensuite un sous chef, qui fait le tampon entre le Boss et les directeurs de campagne mais aussi qui fournit et contrôle les malwares et les botnets. Chaque directeur de campagne fait ses propres attaques et ses propres affaires en se reposant sur une armée de petit main. Chacune des filières a ces clients propres et ces propres programmes de partenariat. Les contacts avec les clients sont gérés par des revendeurs.
Dans le cadre de leurs études, la société a discuté avec ces revendeurs. Ils ont aussi bien pu confirmer la présence de grille de prix suivant le pays, la banque, etc pour les comptes banquaires mais aussi la structure en pyramide tel que décrite ci-dessus. Les revendeurs diposent même de garanties qui permet de remplacer un numéro de carte si ils ne fonctionnent pas.
Comme tous ces données sont raccorchées à une région, un pays, une langue, il faut faire des attaques ciblés pour avoir des données qui intéressent les clients et ce sont les directeurs de campagne qui font organiser ces attaques ciblés.
Ces groupes utilisent également des serveurs de stockage (drop server) où sont stocké la totalité des données volées d’un groupe (i.e. le résultat de plusieurs campagnes). En général, ils sont également le Command Center des botnets. Les auteurs du rapport ont détectés un tel serveur en Malaisie qui contenait 1.4Go de données volées.
Pour conclure, il est clair que cette étude montre la réalité d’une chose que nous savions déjà: le piratage des années 80-90 est fini et nous avons affaire maintenant à des organisations disposant de fonds importants et de personnes de haut niveau. Même si pour le moment, ce n’est pas encore le cas à grande échelle, ces organisations se tourneront surement vers l’espionage industrielle et l’ensemble des milieux pouvant rapporter de l’argent. Ce qui est impressionant c’est la rapidité à laquelle s’est mise en place ce système et comment il a réussi à générer rapidement de très grosses sommes. Cela nous rappelle aussi que les attaquants disposent de plus en plus de ressources pour écrire des malwares toujours plus efficace et que certains sont des experts et connaissent les dernières méthodes de détection.
