Des chercheurs en sécurité ont porté un coup dur à un botnet de spam connu sous le nom de Push-doun groupe massif de PC piratés qui, jusqu’à récemment, était responsable de l’envoi de plus de 10 % de tous les courriers indésirables dans le monde.
Selon la société de sécurité Laboratoires de sécurité M86courrier indésirable relayé par Pushdo (alias Cutwail) effilé à partir d’un torrent à un dribble ces derniers jours. M86 crédite les chercheurs de LastLine Inc.une firme de sécurité composée de professeurs et d’étudiants diplômés de Université de Californie, Santa Barbarala Université de technologie de Vienne (L’Autriche), Eurecom (France) et Ruhr-Université de Bochum (Allemagne).
Dernière ligne Thorsten Holz a déclaré que son groupe avait identifié 30 serveurs Internet utilisés pour contrôler l’infrastructure Pushdo/Cutwail, situés chez huit hébergeurs différents dans le monde. Holz a déclaré que Lastline avait contacté tous les hébergeurs et travaillé avec eux pour démonter les machines, ce qui a entraîné le démontage de près de 20 de ces serveurs de contrôle.
« Malheureusement, tous les fournisseurs n’étaient pas réactifs et donc plusieurs serveurs de commande et de contrôle sont toujours en ligne à ce stade », a écrit Holz sur le le blog de l’entreprise. « Néanmoins, cet effort a eu un impact sur Pushdo / Cutwail, que vous pouvez également voir dans de nouveaux Anubis rapports généré aujourd’hui en réexécutant l’analyse : de nombreuses tentatives de connexion échouent et les machines infectées ne peuvent plus recevoir de commandes. »
Il sera intéressant de voir si cette action a un effet durable sur le botnet Pushdo/Cutwail, qui a rebondi depuis attaques d’infrastructures similaires dans le passé. En janvier 2010, des chercheurs de Neustar et de plusieurs FAI ont ciblé les serveurs de contrôle pour le Botnet Lethic, un autre botnet dont on estimait à l’époque qu’il était responsable du relais d’environ un spam sur dix. Mais juste un mois après ce retrait, les volumes de spam de Lethic a commencé à récupérer.
En mai 2009, la Federal Trade Commission a ordonné le débranchement d’un fournisseur d’hébergement en Californie du Nord appelé 3FN, qui hébergeait à l’époque un grand nombre de serveurs de contrôle Cutwail. Le démantèlement du 3FN – un type d’attaque de botnet que j’aime appeler un «fuite» – repose sur l’ostracisme ou l’immobilisation des FAI et des hébergeurs qui ferment les yeux à plusieurs reprises sur les abus graves sur leurs réseaux.
Cette dernière action de Lastline entre dans l’autre catégorie majeure de démontage, un groupe de tactiques mieux décrites comme des « étourdissements », dans lequel les chercheurs ciblent l’infrastructure de contrôle d’un botnet dans un démontage coordonné. Je discute de ces deux tactiques dans le dernier Journal de sécurité McAfeedisponible à ce lien.