Zeus (cheval de Troie)

cheval de Troie informatique
Zeus

Informations
Type Botnet
Logiciel malveillant
RootkitVoir et modifier les données sur Wikidata

Zeus est un cheval de Troie destiné à voler des informations bancaires par récupération de formulaire, keylogger et attaques en man-in-the-browser. Le virus se transmet par simple visite sur un site infecté via un «exploit». Identifié pour la première fois en alors qu'il est utilisé pour voler des informations au département des Transports des États-Unis[1], il devient très répandu en . En , la société de sécurité informatique Prevx découvre que Zeus a compromis au moins 74 000 comptes FTP sur des sites de grandes compagnies, incluant Bank of America, NASA, Monster.com, ABC, Oracle, Play.com, Cisco, Amazon, et BusinessWeek[2].

En 2009, les multiples botnets de Zeus sont estimés à plusieurs millions d'ordinateurs compromis (environ 3,6 millions aux États-Unis[3]). Le , 1,5 million de messages d'hameçonnage (phishing) sont envoyés sur Facebook dans le but de transmettre Zeus. Le , un couple est arrêté pour utiliser sciemment Zeus afin de voler des données personnelles. Les 14 et , Zeus est transmis par des e-mails prétendant venir de l'entreprise de télécommunications Verizon Wireless. Un total de 9 millions d'e-mails ont été envoyés[4].

Différentes attaques sont signalées en 2010[5],[6], parmi lesquelles, celle révélée par l'entreprise de sécurité Trusteer, indiquant que les cartes de crédit de 15 banques américaines (les noms de ces banques n'ont pas été dévoilés) sont compromises[7].

Le , le FBI annonce avoir démantelé un réseau majeur du cyber-crime international qui a utilisé Zeus pour s'introduire dans des ordinateurs américains et voler environ 70 millions de dollars[8]. Plus de 90 personnes suspectées d'appartenir au réseau sont arrêtés aux États-Unis mais aussi au Royaume-Uni et en Ukraine.

En , le code source de la version alors en vigueur de Zeus est divulgué et, en octobre, le blog abuse.ch fait part d'une nouvelle version du cheval de Troie s'appuyant sur des capacités de peer-to-peer complexes[9].

Prolifération modifier

Le cheval de Troie Zeus est présent dans 196 pays, parmi lesquels certains sont isolés comme la Corée du Nord. Les 5 pays les plus touchés (en nombre de machines infectées) sont l'Égypte, les États-Unis, le Mexique, l'Arabie saoudite et la Turquie. En tout, 2 411 entreprises et organisations ont déclaré avoir subi des opérations criminelles dues à un botnet de Zeus.

Système d'exploitation visé modifier

Zeus cible les ordinateurs sous Windows. Il ne peut marcher sous Mac OS et Linux. En 2012, des chercheurs du laboratoire Kaspersky ont découvert cinq nouvelles variantes de Zeus infectant les téléphones BlackBerry et ceux utilisant Android.

Informations compromises modifier

Les pirates peuvent modifier le logiciel afin de voler seulement les informations qui les intéressent, comme des login de comptes de réseaux sociaux, de comptes mails, de comptes bancaires en lignes. D'après un rapport de la société Netwitness, les sites les plus touchés par ces vols de login sont Facebook, Yahoo!, Hi5, Metroflog, Sonico et Netlog.

Détection et retrait modifier

Zeus est furtif, il est très difficilement détectable même avec un antivirus à jour. C'est la principale raison pour laquelle cette famille de malware a le plus grand botnet d'internet : rien qu'aux États-Unis, 3,6 millions d'ordinateurs sont infectés.

Réaction du FBI modifier

En , le FBI annonce qu'en utilisant Zeus, les pirates informatiques originaires d'Europe de l'Est avaient réussi à infecter de nombreux ordinateurs dans le monde. Le virus est dissimulé par e-mail, et lorsque les individus ou organisations visés ouvraient ces courriels, le logiciel malveillant s'installait sans confirmation sur l'ordinateur, volant secrètement les mots de passe, numéros et autres données bancaires.

Plus d'une centaine d'individus ont été arrêtés pour fraudes bancaires et blanchiment d'argent. 90 d'entre eux résidaient aux États-Unis et les autres étaient originaires du Royaume-Uni et d'Ukraine[10].

Avant leur arrestation, les membres de cette organisation ont réussi à voler 70 millions de dollars.

Disparition modifier

À la fin de l'année 2010, plusieurs vendeurs en sécurité internet comme McAfee et frInternet Identity (en) affirment que le créateur de Zeus a dit avoir pris sa retraite et donné le code source de Zeus ainsi que les droits de vente à son plus grand concurrent, le créateur du cheval de Troie SpyEye. Néanmoins, les mêmes experts se méfient, ils pensent que cette retraite est une ruse et que le pirate va revenir avec de nouvelles astuces[11].

Le , les codes source et fichiers binaires compilés sont retrouvés sur l'hébergeur GitHub[12].

Le 23 octobre 2022, l'ukrainien Vyacheslav Igorevich Penchukov est arrêté à Génève par la police fédérale suisse. Penchukov est soupçonné d'avoir volé et extorqué des millions de dollars en utilisant le malware Zeus. Le minist-re de la justice américain a demandé l'extradition de Penchukov[13].

Notes et références modifier

  1. (en) Jim Finkle, « Hackers steal U.S. government, corporate data from PCs », Reuters, (consulté le ).
  2. (en) Steve Ragan, « ZBot data dump discovered with over 74,000 FTP credentials », The Tech Herald, (consulté le ).
  3. (en) « UAB computer forensics links internet postcards to virus », The Hindu, (consulté le ).
  4. (en) « New Verizon Wireless-themed Zeus campaign hits », SC Magazine, (consulté le ).
  5. (en) Dan Goodin, « Almost 2,500 firms breached in ongoing hack attack », The Register, (consulté le ).
  6. (en) Siobhan Gorman, « Broad New Hacking Attack Detected », Wall Street Journal, (consulté le ).
  7. (en) Raju PP, « Zeus/Zbot Trojan Attacks Credit Cards of 15 US Banks », TechPP, (consulté le ).
  8. (en) FBI, « Cyber Banking Fraud Global Partnerships Lead to Major Arrests », (consulté le ).
  9. (en) Peter Kruse, « Complete ZeuS sourcecode has been leaked to the masses », (consulté le ).
  10. (en) BBC, « More than 100 arrests, as FBI uncovers cyber crime ring », BBC News, (consulté le ).
  11. (en) Diane Bartz, « Top hacker "retires"; experts brace for his return », Reuters,‎ (lire en ligne, consulté le ).
  12. (en) Visgean/Zeus.
  13. (en) Sergiu Gatlan, « Suspected Zeus cybercrime ring leader ‘Tank’ arrested by Swiss police », Bleeping Computer, (consulté le )

Voir aussi modifier

Articles connexes modifier

Liens externes modifier