VirusTotal : quand le site que Google a conçu pour vous protéger des hackers leur facilite en fait la tache

Avant que des sociétés comme Microsoft ou Apple ne commercialisent leurs nouveaux logiciels, elles modifient et testent leur code afin de s'assurer que tout marche comme prévu. Il en va de même pour les hackers. La dernière chose qu'un hacker souhaite est de se faire repérer par l'antivirus de sa victime. Pour s'assurer que cela n'arrive pas, les cyber-pirates soumettent leur code au site Google, VirusTotal. Cela fait quelques temps que les chercheurs en sécurité informatiques soupçonnent les hackers et les espions d'utiliser ce site pour tester leur logiciel avant de traquer leur victime. Brandon Dixon en a pris plus d'un la main dans le sac.

VirusTotal est un service gratuit en ligne, lancé en 2004 par Hispasec Sistemas en Espagne et acquis par Google en 2012. Il compte plus d'une douzaine de détecteurs d'antivirus réalisés par Symantec, Kaspersky Lab, F-Secure et d'autres. Ainsi, quiconque trouve un dossier suspect dans son ordinateur peut le soumettre à l'analyse du site. Mais ce dernier, censé protéger les internautes des pirates informatiques, leur donne donc aussi l'opportunité de tester leurs propres logiciels espions. Ils les soumettent au site et les modifient jusqu'à ce qu'ils soient indétectables par les antivirus.

Brandon Dixon a traqué les codes soumis au site pendant des années. Utilisant les données associées à chaque fichier, il a identifié quelques hackers distincts ou encore des groupes de hackers. Il a même réussi à déterminer certaines de leurs cibles. Car, sur VirusTotal, chaque dossier soumis laisse une trace dans l'historique des métadonnnées. Ces dernières sont disponibles aux abonnées du site professionnels du secteur. Les données révèlent les noms des dossiers et les pays d'où ils viennent.  Bien que Google masque les adresses IP, il est possible d'observer combien de dossiers viennent de telle ou telle adresse. Or, quelques groupes de hackers surveillés par Dixon ont plusieurs fois soumis leur logiciel via la même adresse IP.

Utilisant un algorithme qu'il avait créé pour analyser les métadonnées, Dixon a identifié des groupes de dossiers soumis au site par deux équipes connues de cyber-espionnages basées en Chine et par une autre établie en Iran. Pendant des mois, Dixon a surveillé les actions des pirates. Il voyait quand ils modifiaient et développaient leur code et quand ce dernier fonctionnait enfin. Il pouvait même parfois déterminer quand les hackers lanceraient leur attaque et identifier quelques-unes de leurs victimes. Car il arrivait que ces dernières rentrent dans VirusTotal le logiciel qui avait infiltré leur ordinateur.

L'un des groupes de hackers les plus prolifiques se nomme Comment Crew, à l'origine de la cyber-attaque du New York Times. Réputé pour ses liens avec l'armée chinoise, Comment Crew aurait également volé des données à Coca Cola et plus de 100 entreprises et agences gouvernementales depuis 2006. Dixon a également traqué un groupe connu sous le nom de Net Traveler. Supposément basé en Chine, NetTraveler traque des victimes gouvernementales, diplomatiques et militaires depuis dix ans. Le groupe surveille également le bureau du Dalaï Lama et les supporters des causes Uigur et Tibétaine.

Pendant longtemps, les groupes observés par Dixon, ne pensant pas qu'on pouvait les surveiller, firent peu d'efforts pour dissimuler leur activité. Toutefois, à un certain point, l'équipe Comment Crew a dû avoir des doutes puisqu'elle a commencé à changer d'adresse IP à chaque soumission de dossier. 

Après avoir entendu de nombreux chercheurs en sécurité informatiques exprimer des doutes à l'idée que les hackers utilisaient VirusTotal comme outil test, Dixon a décidé pour la première fois de s'exprimer publiquement sur son travail. Ainsi, cette semaine, il publie le code qu'il a développé pour analyser les métadonnées du site. Peut-être les autres chercheurs trouveront ils alors des informations qui lui avaient jusque-là échappé.

Les données donnent un aperçu rare et fascinent du travail interne des équipes de pirates informatiques. En 2012, pendant les trois mois où Dixon a observé les membres de Comment Crew, ces derniers ont modifié chaque ligne de code de leurs logiciels malveillants, ajoutant et supprimant diverses fonctions. Au cours de ces changements, ils leur arrivaient d'introduire des bugs dans leur logiciels. Dixon les observait alors réaliser toutes sortes d'expérimentation afin de résoudre le problème. Quelques-unes de leurs tactiques marchèrent, d'autres non. Quand elles marchaient, les hackers arrivaient à réduire le nombre d'engins capable de détecter leur code à deux ou trois. Parfois, Dixon pouvait traquer les dossiers chargés sur VirusTotal et les connecter aux victimes. Il lui arrivait également d'arriver à établir combien de temps il y avait eu entre la fin du test et le lancement de l'attaque. La plupart du temps, Comment Crew lançait ses attaques alors qu'il testait encore son logiciel sur Virus Total.

Dixon traqua NetTraveler avec le même acharnement. Le groupe fit son apparition sur VirusTotal en 2009 et augmenta rapidement son activité. En 2009, il soumit 33 dossiers au site, l'année d'après 331. Depuis janvier 2014, il en a déjà soumis 386. Par ailleurs, Net Traveler a la particularité de télécharger des dossiers volés des ordinateurs de ses victimes afin de les tester avant de les ouvrir sur ses propres ordinateurs.  

Quant au groupe de hackers inconnu basé en Iran, il est apparu sur VirusTotal en juin dernier. En seulement un mois, il avait chargé environ 1 000 documents sur le site et avait fait preuve d'une grande habilité pour éviter de se faire repérer. Il lui est même arrivé de recycler des vieux logiciels qui trainaient dans la nature depuis quelques années et de les modifier assez pour leur faire passer la barrière de détecteurs de virus. Dixon a également repéré des membres du groupe PlugX sur le site.  Le groupe, probablement originaire de Chine est apparu l'année dernière. Depuis avril 2013, il a déjà chargé 1 600 contenus sur VirusTotal, utilisant une adresse IP différente à chaque fois.

Maintenant que l'activité des groupes de cyber-pirates sur VirusTotal a été exposée, Dixon a conscience que les hackers vont continuer à s'en servir tout en redoublant de vigilance. Mais désormais, les compagnies de sécurités informatiques ont la preuve que le site est également utilisé pour élaborer des virus. Cela leur donne donc l'opportunité d'être à l'affut de chaque dossier téléchargé avant qu'il ne soit trop tard.