Les Experts : Cyber - Comment les chercheurs ont identifié et suivi des développeurs d'exploitations de vulnérabilités zero-day

Les chercheurs de Check Point ont mis au point une technique pour reconnaître les « empreintes » des développeurs d'exploitations de vulnérabilités, ce qui leur a permis de découvrir deux grands auteurs d'exploitations de vulnérabilités "zero-day" pour Windows

  • Les chercheurs ont établi le profil de l'un des développeurs d'exploitations de vulnérabilités les plus actifs pour Windows, connu sous le nom de "Volodya" ou "BuggiCorp"  
  • Ces développeurs ont créé 15 des 16 exploitations de vulnérabilités d’élévation locale de privilèges -LPE- sous Windows datant de 2015-2019, dont plusieurs zero-day, ce qui constitue une part importante du marché des exploitations de LPE Windows
  • La clientèle des développeurs d'exploitations de vulnérabilités est très diversifiée : auteurs de chevaux de Troie bancaires comme Ursnif, auteurs de logiciels rançonneurs comme GandCrab, Cerber et Magniber, et groupes de pirates russes comme Turla, APT28 et Buhtrap

 

Les chercheurs de Check Point ont mis au point une technique permettant d'identifier les développeurs d’exploitations de vulnérabilités logicielles, y compris de vulnérabilités zero-day qui sont très prisées par les auteurs de logiciels malveillants. En reconnaissant l’« empreinte » unique de chaque auteur d'exploitations de vulnérabilités, qui est aussi identifiable qu'une empreinte digitale, les chercheurs ont pu :

  1. Détecter la présence d'exploitations de vulnérabilités programmées par ces développeurs dans des familles de logiciels malveillants spécifiques
  2. Détecter des exploitations de vulnérabilités supplémentaires écrits par le même développeur, car elles ont en commun la même "empreinte digitale". Cela a permis de détecter des exploitations de vulnérabilités zero-day programmées par ces développeurs
  3. Bloquer toutes les familles de logiciels malveillants qui s’appuient sur une vulnérabilité exploitée par un développeur qui a été étudié et dont "l’empreinte digitale" a été relevée

Pour créer de nouveaux logiciels malveillants, il faut trouver des vulnérabilités dans les logiciels pour lesquels il n'existe aucun correctif - ce qu'on appelle une vulnérabilité zero-day- ou pour lesquels un correctif existant n’a pas encore été largement appliqué. Des développeurs spécialisés dans la programmation d’exploitations de vulnérabilités recherchent les vulnérabilités de ces logiciels, rédigent du code pour en tirer parti, puis le vendent aux plus offrants, qui développent à leur tour des logiciels malveillants sur cette base. 

Les chercheurs de Check Point ont créé une méthode d'identification et de suivi des développeurs d'exploitations de vulnérabilités, dans le but de réduire le flux de nouvelles vulnérabilités critiques et de type zero-day. Les chercheurs ont découvert des indicateurs uniques qui peuvent être associés à des développeurs spécifiques en analysant le code et en recherchant des caractéristiques spécifiques dans la manière dont le code est rédigé ; de la même manière qu'un graphologue analyse l'écriture, ou qu'un spécialiste des empreintes digitales examine le lieu d’un crime. 

En utilisant ces méthodes d'analyse, les chercheurs de Check Point ont découvert le travail de l'un des développeurs d'exploitations de vulnérabilités les plus actifs contre le noyau de Windows, appelé "Volodya", également connu sous le nom de "BuggiCorp". Volodya vend des exploitations de vulnérabilités à la fois pour des vulnérabilités critiques et zero-day. Check Point Research a découvert que Volodya était actif depuis au moins 2015, et a pu retracer 11 exploitations de vulnérabilités différentes programmées pour le noyau de Windows. Parmi ses clients figurent des logiciels criminels populaires tels que Dreambot et Magniber, ainsi que des familles de logiciels malveillants telles que Turla et APT28, qu’on associe généralement à la Russie.

Le second développeur identifié par les chercheurs de Check Point est connu sous le nom de "PlayBit" ou "luxor2008". Il ne vend que des exploitations de vulnérabilités critiques. Les chercheurs de Check Point ont pu découvrir 5 exploitations de vulnérabilités différentes qui ont été développés par PlayBit et vendues à d'importants groupes criminels tels que REvil et Maze. Tous deux sont connus pour avoir développé des logiciels rançonneurs célèbres.

Itay Cohen, Chercheur en logiciels malveillants chez Check Point, déclarait : "Cette étude est une rare occasion de lever le voile sur le fonctionnement du marché noir des exploitations de vulnérabilités. Lorsque Check Point découvre une vulnérabilité, nous en démontrons la gravité, nous la signalons à l’éditeur approprié, et nous nous assurons qu'elle est corrigée, afin qu'elle ne constitue plus une menace. Cependant, pour les personnes qui commercialisent ces exploitations de vulnérabilités, c'est une toute autre histoire. Pour eux, trouver une vulnérabilité n'est qu'un début. Ils doivent l'exploiter de manière fiable sur le plus grand nombre possible de versions de logiciels et de plateformes, afin de la monétiser de manière satisfaisante pour le client."

"Cette étude illustre la manière dont cela est réalisé, et qui sont les acheteurs sur ce marché, qui comprennent souvent des États. Nous pensons que cette méthodologie peut être utilisée pour identifier d'autres auteurs d'exploitations de vulnérabilités. Nous recommandons aux autres chercheurs d'essayer la technique que nous proposons et de l'adopter comme outil supplémentaire de leur arsenal.". 

Le 2 octobre 2020