Jeudi, le gouvernement américain a annoncé avoir saisi un site Web utilisé pour vendre des logiciels malveillants conçus pour espionner les ordinateurs et les téléphones portables.
Le malware s’appelle NetWire, et pendant des années, plusieurs sociétés de cybersécurité et au moins une agence gouvernementale ont rédigé des rapports détaillant la manière dont les pirates utilisaient le malware. Bien que NetWire ait également fait l’objet de publicités sur des forums de piratage, les propriétaires de logiciels malveillants l’ont commercialisé sur un site Web qui donnait l’impression qu’il s’agissait d’un outil d’administration à distance légitime.
« NetWire est spécifiquement conçu pour aider les entreprises à accomplir une variété de tâches liées à la maintenance de l’infrastructure informatique. Il s’agit d’un « centre de commande » unique où vous pouvez conserver une liste de tous vos ordinateurs distants, surveiller leurs statuts et leur inventaire, et vous connecter à l’un d’entre eux à des fins de maintenance », lit-on dans une version archivée du site.
Dans le communiqué de presse annonçant la saisie du site Web, qui était hébergé sur worldwiredlabs.com, le bureau du procureur américain du district central de Californie a déclaré que le FBI avait ouvert une enquête sur le site en 2020. Les autorités allèguent que le site a été utilisé pour commettre des délits internationaux de blanchiment d’argent, de fraude et d’informatique.
Un porte-parole du bureau du procureur américain a fourni à TechCrunch une copie du mandat utilisé pour saisir le site Web, qui détaille comment le FBI a déterminé que NetWire était, en fait, un cheval de Troie d’accès à distance – ou RAT – malveillant et non une application légitime à administrer. ordinateurs distants.
Le mandat contient un affidavit écrit par un officier anonyme du groupe de travail du FBI, qui explique qu’un membre ou un agent de l’équipe d’enquête du FBI a acheté une licence NetWire, a téléchargé le logiciel malveillant et l’a donné à un informaticien du FBI-LA, qui l’a analysé en octobre. 5, 2020 et 12 janvier 2021.
Crédits image : NetWire
Afin de tester les capacités du malware, l’informaticien a utilisé l’outil Builder de NetWire sur un ordinateur de test pour construire « une instance personnalisée du RAT NetWire », qui a été installée sur une machine virtuelle Windows contrôlée par l’agent. Au cours de ce processus, le site Web NetWire « n’a jamais demandé au FBI de confirmer qu’il possédait, exploitait ou avait un droit de propriété sur la machine de la victime de test que le FBI a attaquée lors de ses tests (comme ce serait approprié si les attaques étaient pour un légitime ou fin autorisée).
En d’autres termes, sur la base de cette expérience, le FBI a conclu que les propriétaires de NetWire n’avaient jamais pris la peine de vérifier que ses clients l’utilisaient à des fins légitimes sur des ordinateurs qu’ils possédaient ou contrôlaient.
À l’aide de la machine virtuelle qu’ils ont configurée, l’informaticien du FBI a ensuite testé toutes les fonctionnalités de NetWire, y compris l’accès à distance aux fichiers, l’affichage et la fermeture forcée d’applications telles que le Bloc-notes Windows, l’exfiltration des mots de passe stockés, l’enregistrement des frappes au clavier, l’exécution de commandes via une invite ou un shell et la prise captures d’écran.
« Le FBI-LA [computer scientist] a souligné que dans toutes les fonctionnalités testées ci-dessus, l’ordinateur infecté n’a jamais affiché d’avis ou d’alerte indiquant que ces actions étaient en cours. Ceci est contraire aux outils d’accès à distance légitimes où le consentement de l’utilisateur est généralement requis pour effectuer une action spécifique au nom de l’utilisateur », a écrit l’officier du groupe de travail dans l’affidavit.
L’officier a également cité une plainte que le FBI a reçue d’une victime de NetWire basée aux États-Unis en août 2021, mais n’incluait pas l’identité de la victime, ni de nombreux détails sur l’affaire, à part dire que la victime avait embauché un tiers. entreprise de cybersécurité qui a conclu que l’entreprise victime avait reçu un e-mail malveillant qui avait installé NetWire.
Ciaran McEvoy, porte-parole du bureau du procureur américain du district central de Californie, a déclaré à TechCrunch qu’il n’était au courant d’aucun autre document public sur l’affaire, autre que le mandat et l’affidavit joint, donc des informations sur l’opération de suppression du site Web utilisé pour vendre NetWire, y compris l’identité de ses propriétaires, est à ce stade limité.
Dans le communiqué de presse, le DOJ a écrit que les autorités croates avaient arrêté un citoyen local qui aurait dirigé le site Web, mais n’ont pas nommé le suspect.
Suite à l’annonce, le journaliste spécialisé dans la cybersécurité Brian Krebs a écrit un article dans lequel il a utilisé des enregistrements DNS accessibles au public, des données d’enregistrement de site Web WHOIS, des informations fournies par un service qui indexe les données exposées dans des fuites de bases de données publiques et même un profil Google+, pour lier worldwiredlabs.com site Web à une personne nommée Mario Zanko.