Procès-verbal de violation : Orcus Technologies

ENQUÊTE SUR L’OUTIL ORCUS RAT

  1. RÉSUMÉ

    Le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) est responsable de l’administration des articles 6 à 46 de la Loi canadienne anti-pourriel (la « Loi » ou la LCAP)Note de bas de page1, et le Secteur de la conformité et des enquêtes du Conseil mène des enquêtes sur les violations potentielles de la Loi.
    En février 2018, la Division de la mise en application du commerce électronique du CRTC a ouvert une enquête officielle sur les activités d’Orcus Technologies, une société en nom collectif créée en mars 2016 pour la réalisation d’activités liées au développement de logiciels et au travail en réseau. Orcus Technologies a développé, distribué, promu et vendu un outil d’administration à distance appelé Orcus RAT.
    Vincent Leo Griebel (aussi connu sous Sorzus), un national allemand, a développé l’outil Orcus RAT, tandis que John Paul Revesz (également connu sous Ciriis McGraw, Armada, Angelis, parmi d’autres alias) a assuré la commercialisation, la vente et le soutien technique du logiciel. Griebel et Revesz sont les deux seuls associés de la société en nom collectif Orcus Technologies.
    Les éléments de preuve recueillis au cours de l’enquête ont permis au Cadre en chef de la conformité et des enquêtes (CCCE) de conclure que l’Orcus RAT ne correspondait pas aux outils d’administration typiques comme l’ont prétendu Griebel et Revesz, mais que c’était dans les faits un maliciel connu de type « cheval de Troie d’accès à distance ». Par conséquent, le CCCE a déterminé que Griebel et Revesz ont contrevenu à l’article 9 de la Loi en aidant des personnes malveillantes à installer Orcus RAT sans le consentement du propriétaire ou de l’utilisateur autorisé de l’ordinateur, dans le cadre d’activités commerciales, sur des ordinateurs situés au Canada.
    D’après les éléments de preuve recueillis, le CCCE a également déterminé que Revesz a contrevenu à l’article 9 de la Loi à travers la vente d’un service Dynamic Domain Name Server (DDNS) [service de serveur offrant des noms de domaines de manière dynamique] de 2016 à 2019. Ce service DDNS a été utilisé par des pirates informatiques afin de communiquer avec les ordinateurs infectés au Canada et à l’étranger.

    Afin d’assurer la conformité de la LCAP, le CCCE a émis deux procès-verbaux de violation à M. Revesz et M. Griebel, les associés d’Orcus Technologies, en vertu de l’article 22 de la Loi, totalisant un montant de 115 000 $ en sanctions administratives pécuniaires. Les destinataires de ces procès-verbaux de violation ont 30 jours pour présenter des observations au Conseil ou pour payer la sanction administrative.
  1. L’ENQUÊTE
    Suite au lancement de l’enquête sur Orcus Technologies, le personnel du Conseil a fait l’achat d’un exemplaire de l’outil Orcus RAT afin de réaliser une analyse technique. Cette analyse a déterminé que l’outil Orcus RAT était une technologie de chevaux de Troie d’accès à distance (RAT), un type connu de maliciel. Cette analyse a également démontré que ce programme d’ordinateur incluait les fonctionnalités suivantes, qui permettaient à un administrateur, entre autres, de :
    1. Désactiver la notification lorsque la technologie du RAT est installée;
    2. Dissimuler sa présence dans l’ordinateur de la victime à l’aide de différentes techniques;
    3. Imposer des privilèges administratifs;
    4. Enregistrer les frappes;
    5. Activer la caméra Web et le microphone sans notification; et
    6. Récupérer des mots de passe.

    Les technologies RAT sont un type de logiciel malveillant particulièrement pernicieux qui permet à une personne de prendre le plein contrôle administratif du système d’une autre personne au moyen d’une connexion à un réseau à distance sans le consentement exprès de cette dernière ou sans qu’elle en ait la connaissance. Après l’installation d’un RAT, les intrus ont la capacité d’utiliser l’ordinateur d’une victime comme s’il s’agissait de leur propre ordinateur, y compris accéder aux renseignements personnels (par exemple, les identifiants d’ouverture de session); surveiller le comportement de l’utilisateur grâce aux enregistreurs de frappe et à l’activation de la caméra Web; et exploiter l’ordinateur pour leurs propres fins, telles que l’exploitation de la cryptomonnaie ou la propagation de logiciels malveillants et de virus.
    Les outils d’administration à distance comportent de nombreux usages légitimes, et les technologies RAT offrent des fonctionnalités qui ressemblent généralement à ces programmes légitimes. La différence entre ces deux catégories de logiciel réside dans le fait que les technologies RAT sont conçues spécifiquement pour l’installation et l’exploitation secrète, la durabilité ou la persistance, ainsi que pour faire subir un tort. Autrement dit, les technologies RAT sont naturellement conçues pour être installées dans des systèmes informatiques sans le consentement du propriétaire de ces derniers, dans le cadre d’activités commerciales, ce qui va à l’encontre de l’article 8 de la LCAP.
    Le fonctionnement réel d’Orcus RAT se traduit ainsi : un attaquant envoie à une victime sans méfiance un fichier client, également appelé binaire, et infecte l’ordinateur de cette personne. Le client et le contrôleur se connectent ensuite au serveur d’Orcus qui transmet les commandes de l’attaquant à l’ordinateur de la victime, et les réponses de l’ordinateur de la victime à l’attaquant.
    L’outil Orcus RAT a attiré l’attention de plusieurs chercheurs, entreprises de recherche et journalistes en cybersécurité réputés à l’échelle internationale, qui ont tous reconnu la nature malveillante de l’outil d’administration à distance : Palo Alto Networks (article uniquement disponible en anglais): [Traduction] « Les personnes responsables d’Orcus vendent la technologie RAT en faisant la publicité de celle-ci en tant qu’« outil d’administration à distance » au nom d’une entreprise apparemment enregistrée et en indiquant que cet outil est conçu uniquement pour un usage professionnel légitime. Toutefois, en examinant les capacités des fonctions, l’architecture de l’outil ainsi que la publication et la vente de l’outil dans les forums de pirates informatiques, il est évident qu’Orcus est un outil malveillant et que les clients visés sont des cybercriminels ».
    Krebs on Security (article uniquement disponible en anglais): [Traduction] « De nos jours, beaucoup trop de développeurs de logiciels, par ailleurs intelligents et talentueux, croient qu’ils peuvent se tirer impunément de la conception, de la vente et de l’appui de logiciels malveillants, puis de la présentation de leur commerce à titre d’entreprise purement légitime. Voici comment j’ai appris l’identité réelle d’un homme canadien qui exerce ses activités selon cette même illusion, en tant que propriétaire de l’un des outils les plus populaires et abordables utilisés pour pirater l’ordinateur d’une autre personne. »
    Afin de vérifier la conformité de la Loi et de déterminer si Revesz et Griebel étaient impliqués dans des activités contrevenant à la LCAP, le personnel du Conseil s’est servi d’outils officiels de collecte de renseignements disponibles prévus par la Loi. Un nombre d’avis de communication ont été soumis à des tiers participants de l’industrie situés au Canada et à l’étranger, en vertu de l’article 17 de la Loi. En outre, le personnel du Conseil a exécuté un mandat en collaboration avec la Gendarmerie royale du Canada, afin d’entrer dans le lieu de résidence de Revesz, recueillant ainsi des renseignements importants à l’appui de l’enquête. Le CRTC a également travaillé en collaboration avec le Federal Bureau of Investigation et la Police fédérale australienne, qui menaient des enquêtes distinctes, mais parallèles.
  1. INSTALLATION D’UN PROGRAMME D’ORDINATEUR SANS CONSENTEMENT
    1. Le serveur de commande et de contrôle d’Orcus RAT (C2)
      Conformément à l’article 8(1) de la LCAP, « il est interdit, dans le cadre d’activités commerciales, d’installer ou de faire installer un programme d’ordinateur dans l’ordinateur d’une autre personne ou, après avoir ainsi installé ou fait installer un programme d’ordinateur […], sauf si la personne qui accomplit l’acte en question : soit le fait avec le consentement exprès du propriétaire ou de l’utilisateur autorisé de l’ordinateur et se conforme au paragraphe 11(5) ».
      Au cours de son enquête et à la suite de l’examen des renseignements obtenus de la part de nombreuses sources tierces, y compris des entreprises de cybersécurité, des fournisseurs de services Internet ainsi que des hébergeurs Web, le personnel du Conseil a identifié une adresse sur protocole Internet (IP) canadienne associée à un serveur privé virtuel où un C2 d’Orcus RAT a été observé. Un examen des contenus du serveur privé virtuel a révélé qu’un individu australien exploitait deux serveurs différents d’Orcus sur son serveur privé virtuel au Canada.
      Les éléments de preuve obtenus au cours de l’enquête, incluant les informations trouvées sur le serveur privé virtuel situé au Canada, ont démontré que l’individu en question avait installé l’Orcus RAT, dans plus de 900 systèmes informatiques, dont 23 qui étaient situés au Canada, au cours d’une activité commerciale et sans le consentement des propriétaires de ces systèmes informatiques, contrevenant ainsi à l’article 8 de la LCAP. Les éléments de preuve recueillis démontrent que le C2 d’Orcus RAT contenait des renseignements d’ouverture de session financiers et des identifiants de centaines de victimes à l’échelle internationale.
      Le seul achat de cet individu australien a entrainé l’infection connue de plus de 900 ordinateurs. Au cours de son enquête, le personnel du Conseil a recueilli des renseignements indiquant qu’au moins 1 300 exemplaires de l’outil Orcus RAT ont été vendus. Par conséquent, le nombre total d’ordinateurs infectés demeure inconnu et, basé sur les résultats de l’enquête, il est attendu que sa portée soit considérable.
    2. Hébergement de domaine malveillant facilité par le service DDNS de Revesz
      Le 22 mai 2019, Palo Alto Networks a transmis au personnel du Conseil une liste de 66 échantillons de logiciels malveillants pour lesquels on avait constaté une connexion à nullroute[.]pw. Ce domaine avait été enregistré par Revesz le 4 janvier 2016 sous le pseudonyme connu Ciriis McGraw.
      Les 66 échantillons de logiciels malveillants constituent des éléments de preuve que le service DDNS sécurisé et dynamique de John Paul Revesz était utilisé pour réacheminer les appels d’un certain nombre de RATs bien connus (notamment Luminosity Link, Nanocore, Imminent Monitor et Dark Comet - article uniquement disponible en anglais) à leurs C2 respectifs. Le personnel du Conseil a déterminé qu’un sous-domaine appartenant au service DDNS de Revesz se rapportait à une adresse IP canadienne attribuée à un résident situé dans la région du Grand Toronto, entre janvier 2016 et janvier 2018.
      Un examen des communications de Revesz obtenu pendant l’exécution du mandat a révélé qu’un individu exerçant ses activités au moyen du pseudonyme Erick.Smith41 a fait l’achat du service DDNS de Revesz, qui était, selon un certain nombre de répertoires publics de logiciels malveillants, lié à des cyberactivités malveillantes.
      Le personnel du Conseil a conclu qu’un certain nombre de personnes ont utilisé le service DDNS de Revesz pour installer différents types de RATs dans des systèmes informatiques, dans le cadre d’activités commerciales, sans consentement exprès, contrevenant ainsi à l’article 8 de la LCAP.
  1. AIDE À LA COMMISSION D’ACTES QUI VONT À L’ENCONTRE DE L’ARTICLE 8 DE LA LOI

    Conformément à l’article 9 de la LCAP, il est « interdit de faire accomplir, même indirectement, tout acte contraire à l’un des articles 6 à 8, ou d’aider ou d’encourager quiconque à accomplir un tel acte ». L’article 9 de la LCAP concerne les moyens par lesquels les personnes peuvent contribuer aux contraventions de la LCAP sans directement commettre des violations. Comme il est énoncé dans le Bulletin d’information de Conformité et Enquêtes CRTC 2018-415, Lignes directrices sur l’approche du Conseil concernant l’article 9 de la Loi canadienne anti-pourriel (LCAP), l’article 9 de la LCAP peut s’appliquer à certaines personnes et organisations qui facilitent une activité commerciale, par des moyens électroniques, en fournissant des services habilitants, techniques ou autres. L’article 9 de la LCAP pourrait également s’appliquer à ceux qui reçoivent directement ou indirectement un avantage financier d’une violation des articles 6 à 8 de la LCAP.
    Les éléments de preuve recueillis lors de l’enquête démontrent que Revesz et Griebel ont aidé à la contravention à l’article 8 de la Loi en développant, en commercialisant et en vendant Orcus RAT, ainsi qu’en offrant aux utilisateurs des conseils quant à son utilisation.
    Les renseignements mis à la disposition du public au sujet de publications sur HackForums dont les auteurs étaient Revesz et Griebel, sous leurs pseudonymes Armada et Sorzus, ont révélé qu’ils avaient tous deux, à divers degrés, promu les fonctions malveillantes d’Orcus RAT. Cela comprenait une publication de Revesz, dans laquelle il vantait la capacité de l’outil à récupérer les mots de passe des victimes.
    Les éléments de preuve recueillis au cours de cette enquête ont démontré que John Paul Revesz et Vincent Leo Griebel ont participé directement ou indirectement à des activités qui vont à l’encontre de l’article 9 de la Loi. Revesz a également contrevenu à l’article 9 en développant, en commercialisant et en vendant un service DDNS dont l’utilisation est liée à un nombre important de RATs, y compris Imminent Monitor, Luminosity Link et Adwind RAT.
    Dans le cadre de son enquête, le personnel du Conseil a obtenu une liste des acheteurs d’Orcus RAT situés au Canada et à l’étranger. Un certain nombre d’enquêtes sont en cours afin d’évaluer si les utilisateurs de ces RATs ont installé Orcus RAT dans des systèmes informatiques sans consentement, contraire à l’article 8 de la LCAP. Si tel est le cas, des mesures d’application de la loi appropriées seront prises afin de promouvoir le respect de la LCAP, notamment l’imposition de sanctions administratives pécuniaires pouvant s’élever jusqu’à 1 million de dollars.

    Avertissement :
    Toute personne qui reçoit un procès-verbal de violation à l’occasion de présenter des observations au Conseil en ce qui a trait au montant de la pénalité ou des violations présumées aux termes des articles 24 et 25 de la Loi et peut en vertu de l’article 27 de la Loi interjeter appel devant la Cour d’appel fédérale d’une décision rendue par le Conseil.

    Par conséquent, pour le moment, les renseignements susmentionnés représentent des allégations formulées par des personnes désignées par le Conseil en vertu de l’article 14 de la Loi.

    Toute personne qui reçoit un procès-verbal de violation a également l’occasion de contracter un engagement en ce qui concerne les actes ou les omissions en vertu du paragraphe 21(4) de la Loi, selon les conditions prévues au paragraphe 21(2) de la Loi.

    Le personnel du Conseil fera de son mieux pour fournir des renseignements supplémentaires sur cette enquête dès que possible.

    Mise à jour 17 février 2020 : En vertu de l’article 24(1) de la LCAP, l’échéance pour présenter des observations à l’égard du montant de la sanction ou des actes ou omissions constituant les violations présumées était le 3 février 2020. Étant donné qu’aucune observation n’a été faite, en vertu de l’article 24(2) de la LCAP, John Paul Revesz est réputé avoir commis la violation et doit payer la sanction administrative pécuniaire indiquée dans l’avis.

Date de modification :