Passer au contenu

On peut reconnaître un cybercriminel au style de son code

Les développeurs de malware ont tous leurs petites habitudes et cela transparaît dans le code qu’ils produisent. Les chercheurs de Check Point ont ainsi retrouvé la trace d’un auteur particulièrement prolifique.

La création de malware est, depuis des années déjà, un processus quasi industriel où certains développent des modules logiciels et d’autres les intègrent en fonction de la campagne de piratage envisagée. C’est devenu un business bien rodé, où chacun a sa place. Pour autant, cette industrialisation a ses limites et, comme viennent de le constater les chercheurs en sécurité de Check Point, la marque de fabrique d’un hacker transparaît parfois à travers son code.

En analysant des exemplaires de malwares, ces experts ont ainsi réussi à créer le profil d’un auteur particulièrement prolifique, spécialisé dans l’exploitation de failles dans le kernel Windows. En effectuant des recherches sur un certain nombre de points clés — la cryptographie utilisée, la déclaration des constantes, l’implémentation des fonctions, la structure du code, etc. — ils ont retrouvé la trace de ce hacker dans les malwares d’une petite dizaine de groupes de pirates très différents. Une clientèle illustre, car on y trouve des cyberespions étatiques comme APT28 ou Turla, tout comme des cybercriminels de haut vol tels que GandCrab ou FIN8.

Check Point – Les éléments qui permettent de créer le profil d’un développeur de malware

En réalité, cet auteur n’est pas totalement inconnu. Il s’est déjà fait remarquer à plusieurs reprises dans les forums russes de cybercriminels, où il se fait appeler Volodya, Volodimir ou BuggiCorp. Il n’est pas rare qu’il propose sur ces sites des failles 0-day pour plusieurs centaines de milliers de dollars. Celles-ci se retrouvent d’ailleurs plutôt dans les malwares des pirates étatiques que dans ceux du cybercrime. C’est probablement une question de budget.

Check Point – Les clients de Volodya/Volodimir

En tous les cas, cette analyse montre qu’il est possible de retrouver la trace d’un développeur de malware simplement en regardant son style. Et par conséquent d’avoir une idée sur les groupes avec lesquels il est en affaire. Une perspective intéressante pour les spécialistes de la « cyber threat intelligence », ces experts qui cherchent à identifier et à comprendre les différents acteurs du piratage informatique.

Source: Check Point

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Gilbert KALLENBORN
Les dernières actualités
Youtube Redesign
YouTube laisse tomber le changement de son interface sur le web
Geekom It13
Ce n’est pas un rêve, ce mini PC propulsé par un Intel Core i9 s’affiche bien à ce prix ridicule
Facebook Meta Bug
Meta veut rentabiliser l’IA générative, mais pas tout de suite
Roborock S8 Maxv Ultra 3
Économisez déjà 100€ sur le nouveau Roborock S8 MaxV Ultra
Huawei Pura 70 Une
Huawei lance le Pura 70 en France mais ne veut pas dire s’il est compatible 5G
Apple M3
Des puces toujours plus fines et plus puissantes chez TSMC et Apple : après le 3 nm, voici le 1,6 nm
Piratage Telechargement Illegal Clavier
Streaming : les prix élevés et le trop plein de plateformes favorisent le piratage
Samsung Neo Qled Qn900d 2024
Les meilleurs TV Samsung profitent d’offres de remboursement exclusives (jusqu’à -1000€)
Top téléchargements