Le code source du malware ultrasophistiqué Carberp disponible en téléchargement
Un bazooka entre les mains d'apprentis développeurs pour un expert

Le , par Stéphane le calme, Chroniqueur Actualités
Mise à jour du 02/07/2013

Le code source de « Carberp », le kit de création de botnet qui a été utilisé pour dérober près de 250 millions de dollars aux banques, a été mis en vente en ligne dans plusieurs forums de cybercriminels pour près de 40 000 dollars la licence.


Désormais, il est disponible gratuitement en ligne. Des archives atteignant les deux gigabytes que les experts de par le monde se sont empressés d’étudier en prévision des prochaines attaques de malwares sophistiqués qui pourraient s’en inspirer.

Carberp est une arme puissante qui offre aux attaquants la possibilité de voler une quantité de données sensibles importante des dispositifs affectés. Il possède également une série de plugins qui permettent de neutraliser à la fois des antivirus et des malwares sur une machine. Des nouvelles versions du Trojan comprennent également un bootkit, une série de fonctions qui infectent les ordinateurs depuis leur séquence de boot.

« Il ne faudrait pas être un génie pour obtenir une copie de ce code source ce qui rend tout ça dangereux » remarque Christopher Elisan, chercheur en malware pour le compte du département FirstWatch de RSA. Toutefois il ajoute que « tout apprenti développeur qui ne comprend pas forcément cette technologie peut l’utiliser et cela entraînera d’affreuses conséquences. C’est comme donner un bazooka à un enfant ».

Source : RSA

Et vous ?

Qu'en pensez-vous?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Hotgeart Hotgeart - Membre du Club http://www.developpez.com
le 02/07/2013 à 12:55


Où qu'il est le zip ? Areuh
Avatar de transgohan transgohan - Expert Confirmé Sénior http://www.developpez.com
le 02/07/2013 à 13:14
Citation Envoyé par kaymak  Voir le message
- Le virus manipule les sources html de ton navigateur pour que lorsque tu valides ton action celle ci soit redirigée.

c'est malheureux, mais c'est comme ça, même en faisant attention on se fait berner : /

Personnellement je n'avais pas encore eu vent de cette méthode d'injection HTML, et je la trouve assez flippante pour un utilisateur lambda.

Sous firefox avec Ghostery tu peux détecter ce fonctionnement.
Il désactive les redirections abusives, et donc stoppera la redirection (la seconde redirection donc) vers la banque. Le mal sera fait mais au moins on le voit.

Dans tous les cas ça fait un peu peur de voir un virus de cet envergure disponible à tout un chacun...
Avatar de pmithrandir pmithrandir - Expert Confirmé http://www.developpez.com
le 02/07/2013 à 15:54
merci pour la vidéo, très interessante
Avatar de benymypony benymypony - Membre du Club http://www.developpez.com
le 02/07/2013 à 17:29
Une partie de cette saloperie est en Russe.
Que voulez-vous qu'on y fasse ?



Beny
Avatar de azstar azstar - Membre Expert http://www.developpez.com
le 02/07/2013 à 18:21
Ce sont des virus crées par des genrs normaux (des génies ) ,il faut voir ce que fait les pays alors ; Exemple : PRISM (USA)
Avatar de narutobaka narutobaka - Membre confirmé http://www.developpez.com
le 03/07/2013 à 16:53
,il faut voir ce que fait les pays alors ; Exemple : PRISM (USA)



bonjour,

ah ah j'étais justement en train de penser à ça.

comparer prisme à un virus informatique.

En même temps c pas crosoft qui laisse volontairement de backdoor pour le agence de renseignement? Après il te font croire qu'il bosse d'arrache pied en sortant des mises à jour .

une sorte de "projet 2501", l'air du cybercrime

++
Avatar de bombseb bombseb - Membre émérite http://www.developpez.com
le 04/07/2013 à 16:39
En même temps c pas crosoft qui laisse volontairement de backdoor pour le agence de renseignement?

Est-ce que c'est vrai cette histoire de backdoor dans les softs MS ?
Avatar de transgohan transgohan - Expert Confirmé Sénior http://www.developpez.com
le 04/07/2013 à 17:11
Citation Envoyé par bombseb  Voir le message
Est-ce que c'est vrai cette histoire de backdoor dans les softs MS ?

Absolument pas, ou tout du moins les agences gouvernementales françaises n'ont jamais trouvé ces dites backdoor.
On utilise actuellement du soft microsoft en environnement secret défense donc...
Avatar de ddoumeche ddoumeche - Membre actif http://www.developpez.com
le 04/07/2013 à 22:32
Citation Envoyé par azstar  Voir le message
Ce sont des virus crées par des gens normaux (des génies ) ,il faut voir ce que fait les pays alors ; Exemple : PRISM (USA)

Prism c'est de la blague en termes techniques. L'US Navy posait des écouteurs sur les câbles sous marins soviétiques. La nouveauté est le retour à l'espionnage de masse, comme du temps de la Stasi... a moins qu'il ne s'agisse de se débarrasser d'une administration devenue gênante (la NSA date de 1949).

Stuxnet est une création des services militaires de deux états, et apporte des nouveautés technique plus inquiétantes. Enfin quand la Hague va pêter, ou l'élysée se faire pirater, on pourra blâmer les américains x¬D
D'ailleurs un grand producteur énergétique français s'en préoccupe et a verrouillé les failles du protocole USB.

Citation Envoyé par transgohan  Voir le message
Absolument pas, ou tout du moins les agences gouvernementales françaises n'ont jamais trouvé ces dites backdoor.
On utilise actuellement du soft microsoft en environnement secret défense donc...

Ce ne sont pas des backdoors mais des failles 0-day, nuance. Et il n'y a pas que MS qui en fournisse. Je me demande d'ailleurs ce qui se passe quand on croise les fichiers de Windows update et les données du RIPE en se restreignant aux IP d'origine militaire : un magni-fi-que carte des risque. J'espère que la chose a été prévu dans les milieux compétents.

Au fait non, il me semble que la DGSE n'utilise pas Linux.
Avatar de sevyc64 sevyc64 - Modérateur http://www.developpez.com
le 05/07/2013 à 9:42
Ne pas raconter n'importe quoi !!!
Citation Envoyé par ddoumeche  Voir le message
La nouveauté est le retour à l'espionnage de masse, comme du temps de la Stasi... a moins qu'il ne s'agisse de se débarrasser d'une administration devenue gênante (la NSA date de 1949).

Il n'y a pas de nouveauté, il n'y a pas de retour. L'espionnage de masse par les US existe et est toujours aussi important depuis la seconde guerre mondiale et surtout depuis la guerre froide. Et, dans l'esprit américain, il n'y a pas de raison qu'il cesse bien au contraire, ils ne se sont jamais considérés autant en danger.
Quant à dissoudre la NSA, si ça avait été le but, ça aurait été fait après le 11 septembre et l'échec notoire des 2 agences NSA et CIA (ils étaient au courant et avait été mis au courant par les services étrangers, anglais et français, notamment, que quelque chose se tramait, mais non pas voulu en tenir compte)

Citation Envoyé par ddoumeche  Voir le message
Enfin quand la Hague va pêter, ou l'élysée se faire pirater, on pourra blâmer les américains x¬D

Je ne vois pas ou serait l’intérêt pour les américains de faire péter La Hague. Ça équivaudrait à déclarer la guerre à la France. La France n'est pas l'ennemie militaire de l’Amérique. Les USA auraient tout à perdre à déclarer la guerre à un des pays de l'Europe, ça serait un vrai suicide pour eux.

Citation Envoyé par ddoumeche  Voir le message
D'ailleurs un grand producteur énergétique français s'en préoccupe et a verrouillé les failles du protocole USB.

Rien de plus simple, il suffit d'interdire au niveau du système l'utilisation de périphériques USB. C'est prévu en standard.

Citation Envoyé par ddoumeche  Voir le message
Ce ne sont pas des backdoors mais des failles 0-day, nuance. Et il n'y a pas que MS qui en fournisse. Je me demande d'ailleurs ce qui se passe quand on croise les fichiers de Windows update et les données du RIPE en se restreignant aux IP d'origine militaire : un magni-fi-que carte des risque. J'espère que la chose a été prévu dans les milieux compétents.

Au fait non, il me semble que la DGSE n'utilise pas Linux.

Non tu mélange tout.
Il ne s'agit pas ici de système qui ne serait pas mis à jour et conserverait des failles de sécurité, mais bien d'une légende urbaine qui dit que Microsoft a volontairement codé dans ses logiciels des points d'accès secret à destinations des agences gouvernementales américaines pour qu'elles puissent se connecter et espionner n'importe quelles machines.
C'est une légende qui existe depuis l’existence de Windows, et qui touche aussi maintenant tous les grands, Google, Yahoo, Facebook, Twiter, Apple, ...
Concernant Microsoft, de nombreux pays se sont pencher sur ce problème et jusqu'à maintenant l’existence de ces backdoors n'a pas été prouvée, ni par les services de ces pays, ni par d'autres hackers.
Avatar de azstar azstar - Membre Expert http://www.developpez.com
le 05/07/2013 à 10:01
n'oublie pas que l'espionnage n'est pas toujours pour un but purement militaire, mais aussi commercial, par exemple, l’espionnage sur des sociétés françaises qui a mène a que pas mal des offres d'appel a été gagnés par des sociétés américaines, car ces sociétés connaissent par l'avance les offres des sociétés françaises.
Avatar de DevTroglodyte DevTroglodyte - Membre chevronné http://www.developpez.com
le 05/07/2013 à 10:22
Citation Envoyé par ddoumeche  Voir le message
Enfin quand la Hague va pêter

Sans y coller une bombe, je vois mal comment tu vas t'y prendre.
Avatar de eomer212 eomer212 - Membre confirmé http://www.developpez.com
le 05/07/2013 à 21:41
alors concernant la 'legende urbaine' qui dit que microsoft rajouterait des backs doors pour les services de renseignement americains,
je vais t'expliquer le point de vue du diable, le service de renseignement francais ou autre qu'américain.
1:d'une part, pourquoi perdre des reseources et engager des specialistes quand on a pas le budget pour ca.. ?? on est pas des americains. et ces gars la coutent des fortunes.
2: si on trouve une back door, on se tait, et on garde précieusement cette information pour pouvoir nous meme noous en servir. ca serait con de rater une occaze pareille.
3: quand t'ecoutes les communiquants de l'armée ou du gourvernement, ils te disent "tout va bien madame la marquise."
FAUX. c'est la merde, les services de contre espionnage electroniques francais sont inexistants, "quelques dizaines d'opérateurs" et je ne parle pas de spécialistes de haut niveaux.
bref, pour l'armée francaise, ils savent trés bien que c'est plein de backdoor.
mais quand on a plus de pognon, on fait avec ce qu'on a.. le militaire francais est le champion du bricolo et de l'adaptation avec rien, une vieille tradition née de la pénurie permanente, surtout dans les cas operationnels.
alors uin vrai service, operationnel, financé et disposant de moyens adéquats, ca changerait vraiment..

dans tous les cas, il faut partir du principe que ces "services" sont dangereux, car fournis par des concurrents qui ont la manie de l'espionnage.
un veritable investissement europeen, serait donc de mettre en place une societe chargée d'une seule chose: creer un systéme d'exploitation, securisé et fiable.
ca permettrait d'equiper toutes les administrations europeenes et même de faire de l'argent en equipant les administrations ou les armées d'autres pays.

mais ca, c'est trop demander à nos politiques qui ne déifferencient toujours pas un pc windows et un pc linux.
alors, la securité.....
Avatar de sevyc64 sevyc64 - Modérateur http://www.developpez.com
le 05/07/2013 à 22:21
Citation Envoyé par eomer212  Voir le message
...

Tu me semble bien (mal) connaitre les militaires français. Tu semble avoir une belle dent contre eux.

Sache qu'ils sont un peu plus que "quelques dizaines d'opérateurs" . Certes pas aussi nombreux que les américains, mais comme bien souvent la quantité n'est pas forcément gage de qualité.

Sache aussi qu'en matière de communication électronique au sens large, ils n'ont pas grand chose à envier aux américains.

Et, oh stupeur, les moyens de communications radio de l'armée de terre américaine au début des années 90 (époque ou pourtant elle avait encore de conséquents budgets) était une technologie française achetée à l'armée française, armée française qui a commencé à cette époque d'ailleurs à utiliser la version 2.0 de cette technologie donc légèrement plus évoluée.
La rumeur disait à l'époque d'ailleurs que l'armée française avait conservé les moyens, secrets, de pouvoir brouiller et rendre inefficace le dispositif américain.
Je tiens ça de militaires eux-mêmes mais je n'ai jamais eu évidemment possibilité de vérifier. J'imagine que depuis tout ce matériel est passé au rebut.
Avatar de louisdiene louisdiene - Invité de passage http://www.developpez.com
le 07/07/2013 à 4:11
Parlant de cookies est-qu'on s'éloignerait de Carberp ? Jusque là j'arrive à vous suivre...
Avatar de louisdiene louisdiene - Invité de passage http://www.developpez.com
le 07/07/2013 à 4:19
Parlant de cookies est-qu'on s'éloignerait de Carberp ? Jusque là j'arrive à vous suivre...
Avatar de transgohan transgohan - Expert Confirmé Sénior http://www.developpez.com
le 08/07/2013 à 11:23
Citation Envoyé par eomer212  Voir le message
...

Saches que l'armée française ainsi que toutes les entreprises ayant à travailler à un niveau secret défense et utilisant windows font leur propres Service Pack.
Cela inclut donc que même si on ne dévoile pas la backdoor au monde entier on la corrige au moins pour nos services français.

Ce n'est pas pour rien qu'on obtient chaque mise à jour un an en retard par rapport à la date de sortie.
Avatar de DevTroglodyte DevTroglodyte - Membre chevronné http://www.developpez.com
le 08/07/2013 à 11:31
De toute maniere, les données sensibles sont sur des réseaux coupés d'internet (et même là, y'a en plus pas mal de sécurités ajoutées), donc bon, pour y piocher des informations, c'est limite plus facile de retourner un agent de l'Etat que de tenter de pirater le système...

D'ailleurs c'est pareil dans le nucléaire civil.
Avatar de sevyc64 sevyc64 - Modérateur http://www.developpez.com
le 08/07/2013 à 12:02
Citation Envoyé par DevTroglodyte  Voir le message
De toute maniere, les données sensibles sont sur des réseaux coupés d'internet [...]

D'ailleurs c'est pareil dans le nucléaire civil.

Oui, enfin ça c'est la théorie.

Parce qu'en pratique ....
Avatar de DevTroglodyte DevTroglodyte - Membre chevronné http://www.developpez.com
le 08/07/2013 à 12:37
Citation Envoyé par sevyc64  Voir le message
Oui, enfin ça c'est la théorie.

Parce qu'en pratique ....

Ouais :-/

Et c'est sans compter les guignols qui utilisent des clés USB vérolées pour passer des données d'un réseau à un autre...
Avatar de MRick MRick - Membre du Club http://www.developpez.com
le 09/07/2013 à 14:34
Ce qui est inquiétant pour nous autres francophones, c'est que Carberp devrait suivre la même voie que Zeus auparavant.

Le problème c'est que Carberp a été développé par des développeurs vraiment bons. Par chance pour nous autres francophones, jusqu'ici ceux-ci ne le vendaient qu'a des clients russophones (on peut raisonnablement supposer que les auteurs de Carberp sont Russes, Ukrainiens, Biélorusses, ou d'une autre nationalité utilisant couramment la langue russe dans la vie de tous les jours).

Après la fuite de Zeus en 2011, il a fallut environ 1 ans et demi pour que des pirates originaires d'Afrique du nord en fassent une version spécifique visant les banques francophones (BNP, Société Générale, La Banque Postale, etc...), au début de l'année 2013.

Pour Carberp, on peut craindre qu'il faille moins de temps que pour Zeus.

Les escrocs francophones ne sont généralement pas très doués techniquement, la plupart ont encore recours à des techniques rudimentaires (mais néanmoins efficaces) comme le phishing. Mais quelques-un arrivent à dépasser ce stade.

Enfin je voudrais rectifier quelques idées reçues que j'ai lu plus haut dans ce fil de discussion :
Carberp n'est pas 1 virus, ça n'a donc pas de sens de dire qu'il n'est pas détecté par tel ou tel antivirus, puisque le taux de détection va varier d'un échantillon à l'autre. C'est une famille de virus qui compte plusieurs centaine de milliers de variantes, il serait donc plus judicieux de dire que tel ou tel éditeur détecte 80% ou 90% des variantes. Aucun éditeur ne peut se targuer de détecter 100% des variantes à un instant T, puisque de nouvelles variantes sont produites chaque heure, voire peut-être chaque minute.
À titre de comparaison la majorité des experts antivirus estiment qu'il y a environ 200 000 variantes de nouveaux codes malveillants créés chaque jour. J'ignore combien représente Carberp dans cette masse, mais il me semble raisonnable de donner une fourchette entre 500 et 10 000 nouveaux échantillons de la famille Carberp par jour.

Ce code source qui a donc fuité, ce n'est donc pas un bazooka laissé à trainé à des enfants, mais plutôt comme l'a écrit Brian Krebs : Les plans d'une usine d'armement laissés à trainer dans la nature.

C'est vraiment un framework complet, avec tout un tas d'option qui permet à celui qui le contrôle de générer des variantes de Carberp en quelques clics.

Les scripts-kiddies ne vont probablement pas réussi à en faire grand chose. Les pirates un peu plus doués par contre, même si ça leur prendra probablement du temps, vont finir par produire leurs propres versions de Carberp à la chaine.

Le seul côté positif dans cette histoire, c'est que les auteurs originaux de Carberp, qui louaient leur services à prix d'or, vont se retrouver un peu sur la paille.
Avatar de Pelote2012 Pelote2012 - Membre Expert http://www.developpez.com
le 09/07/2013 à 16:52

2 choses l'une : soit les expert en profite est blinde la sécu soit on va vers du grand n'importe quoi et l'informatique connecté sera délaissé
L'apocalipse quoi

Restons calme pas de panic reste à espérer que le monde sera intelligent
Avatar de ddoumeche ddoumeche - Membre actif http://www.developpez.com
le 19/07/2013 à 2:25
Citation Envoyé par sevyc64  Voir le message
Quant à dissoudre la NSA, si ça avait été le but, ça aurait été fait après le 11 septembre et l'échec notoire des 2 agences NSA et CIA (ils étaient au courant et avait été mis au courant par les services étrangers, anglais et français, notamment, que quelque chose se tramait, mais non pas voulu en tenir compte)

Ce n'était pas le même gouvernement, et l'affaire Snowden ressemble trop à un pipeau.

Citation Envoyé par sevyc64  Voir le message
Je ne vois pas ou serait l’intérêt pour les américains de faire péter La Hague. Ça équivaudrait à déclarer la guerre à la France. La France n'est pas l'ennemie militaire de l’Amérique. Les USA auraient tout à perdre à déclarer la guerre à un des pays de l'Europe, ça serait un vrai suicide pour eux.

Mais c'est toi qui parle des américains. J'ai juste dis que Stuxnet fournirait un alibi "we have been hacked" à EDF.

Citation Envoyé par DevTroglodyte  Voir le message
Sans y coller une bombe, je vois mal comment tu vas t'y prendre.

Une bombe ca se trouve. Mais apparemment le sens de mon message a été mal compris :
D'abord, je dis la Hague parce que c'est symbolique, ou autre. Statistiquement, on a une catastrophe nucléaire majeure tout les ... 25 ans ?
Sachant qu'il faut 50 ans pour démanteler une centrale (selon l'expérience allemande), et qu'on n'a pas les fonds pour cela, la statistique voudrait que nous soyons les prochains sur la liste. Puisqu'on parle de la Hague, il vont démanteler une partie des installations les plus anciennes, ca va couter 4 milliards d'euros, le prix d'un porte avion nucléaire.
Et les catastrophes naturelles, ca n'arrive pas qu'aux autres : la tempête de 1999 a provoqué un accident grave à la centrale du blayais.

Citation Envoyé par sevyc64  Voir le message
Rien de plus simple, il suffit d'interdire au niveau du système l'utilisation de périphériques USB. C'est prévu en standard.

Et on revient à la disquette ? Je ne parlais pas de cette alternative

Citation Envoyé par sevyc64  Voir le message
Non tu mélange tout.
Il ne s'agit pas ici de système qui ne serait pas mis à jour et conserverait des failles de sécurité, mais bien d'une légende urbaine qui dit que Microsoft a volontairement codé dans ses logiciels des points d'accès secret à destinations des agences gouvernementales américaines pour qu'elles puissent se connecter et espionner n'importe quelles machines.

Va prouver qu'il n'y a pas de backdoors dans Windows


Offres d'emploi IT
Développeur tactique cva h/f
Alternance
Société Générale - Ile de France - Paris (75000)
Ingénieur développement java / python h/f
CDI
Sogeti High Tech - Provence Alpes Côte d'Azur - Sophia Antipolis
Digital project manager international h/f
CDD
Lagardere Active Presse - Ile de France - Île-de-France

Voir plus d'offres Voir la carte des offres IT
Responsable bénévole de la rubrique Accueil : le Service Publications -