Le compte à rebours se poursuit pour l’opération Endgame. Dans quelques jours, les forces de l’ordre devraient mettre en ligne de nouveaux documents sur le site dédié à cette manœuvre policière internationale visant cinq droppers. Pour rappel, Endgame a pour but de s’attaquer à des programmes clés pour les cybercriminels, Bumblebee, Pikabot, Smokeloader, SystemBC, IcedID et Trickbot. Ces logiciels malveillants permettent ensuite à d’autres gangs, spécialisés par exemple dans le rançongiciel, de faire main basse sur des précieux accès initiaux.
Après avoir annoncé à la fin mai quatre arrestations, l’émission de dix mandats d’arrêt internationaux, et la mise hors ligne de plus de cent serveurs, les policiers jouent désormais la carte du teasing. Une série de vidéos, à la production particulièrement bien léchée, ont ainsi été mises en ligne. La dernière vient de dévoiler une partie de l’identité d’un développeur associé au botnet Emotet, démantelé une première fois au début de l’année 2022, un certain Alexey T.
« Vous pourriez avoir besoin de nous »
Ces vidéos sont clairement destinées à des cybercriminels russophones, en témoigne l’utilisation de cette langue, outre l’anglais, dans des incrustations vidéo. « N’hésitez pas à nous contacter, vous pourriez avoir besoin de nous, rappellent également les forces de l’ordre sur le site. Nous pourrions tous deux bénéficier d’un dialogue ouvert, vous ne serez pas le premier, ni le dernier. »
En attendant de nouvelles informations sur l’opération Endgame, quel est le bilan actuel de l’action menée contre les cinq droppers? Un mois après le début de l’opération, « cela a ralenti les activités des cybercriminels et leur demande désormais des moyens pour déployer de nouvelles activités », salue auprès de ZDNET.FR Quentin Bourgue, analyste cybermenaces chez l’entreprise Sekoia, mise à contribution dans l’opération policière.
Si tous les programmes malveillants ne sont pas dans son viseur, « nous pouvons confirmer que l’infrastructure de Pikabot est tombée », poursuit-il. Ce n’est toutefois pas étonnant. L’infrastructure n’était plus active depuis la fin mars, soit avant le coup de filet policier. A ce moment-là, un homme, suspecté d’être l’administrateur du programme malveillant, avait été arrêté en Ukraine à la demande de la justice française.
Apparition d’un variant
Quoi qu’il en soit, l’arrêt de l’infrastructure malveillante est peut-être aussi le signe d’un virage vers d’autres outils, comme l’outil d’hameçonnage EvilProxy, un kit conçu pour voler des identifiants de connexion et des jetons d’authentification multifacteur. « Ce genre d’attaque peut être considérée comme plus efficace, car plus dure à détecter », relève Quentin Bourgue. Elle permet en outre des accès potentiellement juteux à des messageries et des documents.
Pour SmokeLoader, l’analyse observe qu’une grande partie des noms de domaines ont été saisis ou bloqués. Résultat, de nombreuses machines infectées n’étaient plus contrôlées, une bonne nouvelle. « L’opérateur a certainement pu monter une nouvelle infrastructure », par exemple en recourant à des noms de domaine russes, tempère Quentin Bourgue.
Quant à IcedID, ce programme malveillant était déjà en perte de vitesse depuis la fin de l’année 2023. Il est en effet en train d’être supplanté par son variant Latrodectus. Un retard pas étonnant. Des opérations comme Endgame demandent en effet du temps à être mises en place. Alors que les attaquants « changent eux régulièrement de malwares et de mode opératoire pour des raisons de détection et de performance », rappelle Quentin Bourgue.