Offensive majeure contre le botnet ZeroAccess décembre 11, 2013
Une alliance composée de Microsoft, du FBI, de l’E3C (European Cybercrime Center) et d’autres acteurs privés a mené une offensive majeure contre le botnet ZeroAccess (ou Sirefef). Le botnet a été perturbé, mais pas démantelé, notamment en raison de la complexité de son architecture.
Qu’est-ce qu’un botnet ?
Un botnet est un « réseau d’ordinateurs privés infectés par des logiciels malveillants et contrôlés tel un groupe sans le consentement des propriétaires (« network of private computers infected with malicious software and controlled as a group without the owners’ knowledge » – Oxford Dictionnaries). Ce réseau constitue ainsi un « réseau d’ordinateurs zombies », parfois utilisé sans que les propriétaires des ordinateurs sachent que leurs ordinateurs ont été infectés. Un botnet peut être utilisé pour remplir différents buts : facilitation du spam, tentatives de phishing, attaques DDoS (Distributed denial of service) etc.
Le botnet ZeroAccess a surpris par sa complexité : celui-ci est structuré en réseau peer-to-peer, et a été conçu dans le but d’empêcher toute protection. Ainsi, les ordinateurs infectés pouvaient parfaitement communiquer entre eux et se transmettre des mises à jour. Microsoft note en effet que :
36. This architecture is employed as a way to resist countermeasures. In a peer-to-peer network, the participating infected computers, called
nodes, orpeers, engage in constant communication with each other, and can quickly and reliably update each other with new versions of the malware and new instructions. In other words, in a peer-to-peer network, any one of the infected computers can function as a command-and-control server.
Cet extrait est tiré du document suivant (.pdf, en anglais) : http://botnetlegalnotice.com/zeroaccess/files/Cmplt.pdf. Dans ce même document, Microsoft a ainsi qualifié ZeroAccess d’un des botnets les plus robustes et durables d’aujourd’hui.
ZeroAccess a infecté 1,9 million d’ordinateurs dans le monde. Le principe de ce botnet est notamment de pirater les résultats de recherche en renvoyant l’internaute vers des sites malveillants afin de permettre à l’ordinateur de devenir un « zombie » à son tour. Ainsi infecté, l’ordinateur permettait des click-fraud (détournement de clics pour augmenter les dépenses publicitaires de concurrents).
Contre-attaque
C’est une unité spéciale de Microsoft qui a mené la contre-attaque, appelée « DCU » pour Microsoft’s Digital Crimes Unit. Cette unité a déjà mené des opérations contre des botnets comme par exemple les opération b107 (Rustock Botnet), b70 (Nitol botnet), ou encore b58 (Bamital).
La DCU de Microsoft mène ces actions en partenariat avec des acteurs publics (US Marshals, Gendarmerie nationale, etc.) ou privés (Symantec, A10 Networks, etc.).
La DCU n’a pas mené cette lutte seule, puisqu’elle était ici en partenariat avec le FBI, A10 Networks, d’autres fleurons de l’industrie, et, soulignons-le, l’E3C (European Cybercrime Centre), qui a ouvert en janvier 2013. Situé à la Hague, ce centre spécial ambitionne de devenir le fer de lance européen dans la lutte contre la cybercriminalité :
« EC3 aims to become the focal point in the EU’s fight against cybercrime, through building operational and analytical capacity for investigations and cooperation with international partners in the pursuit of an EU free from cybercrime.
(E3C) »
Cette contre-attaque aura notamment permis de saisir quarante-neuf sites ayant permis de diffuser le malware. Cette opération technique n’a hélas pas permis le démantèlement complet de ZeroAccess, mais Microsoft espère que cette offensive aura permis de perturber ZeroAccess « de manière significative » : « Microsoft expects that this action will significantly disrupt the botnet’s operation »
Des actions judiciaires sont bien sûr en cours, et ce tant aux États-Unis qu’en Europe, grâce notamment au concours d’Europol.