TOOLinux

Le journal du Libre

Kaspersky Lab veut éradiquer le logiciel malveillant Shylock

jeudi 24 juillet 2014

Les 8 et 9 juillet 2014, les agences de répression ont pris des mesures pour désorganiser le système dont dépend Shylock pour fonctionner efficacement. Elles ont agi notamment pour saisir des serveurs qui forment le système de commande et de contrôle du trojan, et prendre le contrôle des domaines qu’utilise Shylock pour la communication entre les ordinateurs infectés.

L’opération, coordonnée par l’Agence nationale contre le crime (NCA) du Royaume-Uni, a rassemblé des partenaires des agences de répression et des secteurs privés, y compris – outre Kaspersky Lab – Europol, le FBI, BAE Systems Applied Intelligence, Dell SecureWorks et l’agence de renseignement et de sécurité du Royaume-Uni (GCHQ), afin de combattre ensemble la menace.

Des enquêtes ont été lancées depuis le Centre européen de lutte contre la cybercriminalité (EC3) d’Europol à La Haye. Des enquêteurs du Royaume-Uni (NCA), des États-Unis (FBI), d’Italie, des Pays-Bas et de Turquie ont uni leurs forces pour coordonner l’opération dans leurs pays, de concert avec des homologues en Allemagne, en France et en Pologne. La coordination assurée par Europol a joué un rôle essentiel pour stopper les serveurs constituant le cœur des botnets, des logiciels malveillants et de l’architecture Shylock. Le CERT de l’UE a participé à l’action et diffusé des informations sur les domaines malveillants à ses confrères.

Lors de cette opération, des parties jusque-là inconnues de l’architecture de Shylock ont été découvertes, ce qui a permis de lancer immédiatement des actions de suivi et de les coordonner depuis le centre opérationnel de La Haye.

Shylock – nommé ainsi parce que son code contient des extraits du Marchand de Venise de Shakespeare – a infecté au moins 30 000 ordinateurs dans le monde exécutant Microsoft Windows. Des renseignements suggèrent que Shylock vise le Royaume-Uni plus que tout autre pays ; cependant, les États-Unis, l’Italie et la Turquie sont également dans le collimateur du code malveillant. On estime que les développeurs suspects sont basés dans d’autres pays.

Les victimes sont généralement infectées en cliquant sur des liens malveillants, puis amenées à leur insu à télécharger et exécuter le logiciel malveillant. Shylock cherche ensuite à accéder à des fonds détenus sur des comptes commerciaux ou de particuliers, et à les transférer aux contrôleurs criminels.

« Le Centre européen de lutte contre la cybercriminalité est très satisfait de cette opération contre ce malware sophistiqué qui a joué un rôle déterminant dans la lutte pour démanteler l’infrastructure criminelle. L’EC3 a fourni une plate-forme unique et des salles opérationnelles équipées d’une infrastructure technique de pointe et de moyens de communication sécurisés, et nous avons aussi mobilisé des cyber-analystes et de cyber-experts.

Ainsi, nous avons pu aider les cyber-investigateurs de première ligne, coordonnés par l’agence NCA du Royaume-Uni, et en présence sur place du FBI et de collègues d’Italie, de Turquie et des Pays-Bas, tout en établissant des liens virtuels vers des cyber-unités en Allemagne, en France et en Pologne.

Les conseils

Les utilisateurs ayant des mises à jour de système d’exploitation automatisées – qui peuvent garantir que les ordinateurs infectés par des logiciels malveillants tels que Shylock soient nettoyés automatiquement à la suite d’un démarrage système – n’ont aucune mesure à prendre pour le moment.

Notons que les systèmes Linux ne sont pas concernés.