Des experts de tout le secteur de la sécurité ont collaboré cette semaine pour mettre en quarantaine plus de 110 000 PC Microsoft Windows infectés par le Ver Khéliosune contagion qui oblige les PC infectés à diffuser des courriers indésirables faisant la publicité de pharmacies Internet voyous.
La plupart des botnets sont relativement fragiles : si les experts en sécurité ou les forces de l’ordre s’emparent des serveurs Internet utilisés pour contrôler le réseau zombie, la machine criminelle finit par imploser. Mais Khelios (alias « Kelihos ») a été conçu pour résister à de telles attaques, en utilisant une structure peer-to-peer semblable à celle utilisée par les sites de musique et de partage de fichiers populaires pour éviter le retrait par l’industrie du divertissement.
Mise à jour, 11 h 07 HE : Plusieurs sources rapportent maintenant que quelques heures après le démontage de Khelios.B, Khelios.C a été compilé et lancé. Il semble se propager via Facebook.
Message d’origine : La nature distribuée d’un botnet P2P permet au botmaster d’orchestrer ses activités en ensemençant quelques machines du réseau avec des instructions cryptées. Ces systèmes agissent alors comme un catalyseur, relayant les commandes d’une machine infectée à une autre en succession rapide.
Les botnets P2P peuvent être extrêmement résistants, mais ils possèdent généralement une faiblesse centrale : ils ne sont aussi puissants que le cryptage qui brouille les directives que le botmaster envoie aux machines infectées. En d’autres termes, quiconque parvient à déchiffrer le langage informatique nécessaire pour communiquer avec les systèmes compromis peut leur envoyer de nouvelles instructions, telles que des commandes pour se connecter à un serveur de contrôle hors de portée du ou des malfaiteurs qui ont construit le botnet.
C’est précisément l’approche que les chercheurs en sécurité ont utilisée pour prendre le contrôle de Khelios. La connerie a été réalisée par un groupe hétéroclite d’experts en sécurité du Projet Honeynet, Kaspersky, SecureWorkset entreprise de sécurité en démarrage FouleStrike. Le groupe a découvert comment casser le cryptage utilisé pour contrôler les systèmes infectés par Khelios, puis a envoyé à une poignée de machines de nouvelles instructions pour se connecter à un serveur Web contrôlé par les chercheurs.
Cet exploit a permis à l’équipe de recherche d’arracher le botnet aux mécréants qui l’ont créé, a déclaré Adam Meyer, directeur du renseignement pour CrowdStrike. Le piratage du botnet n’a pris que quelques minutes et, une fois terminé, l’équipe disposait de plus de 110 000 ordinateurs faisant rapport à son serveur de contrôle de substitution.
« Une fois que nous avons injecté ces informations dans le nœud P2P, cela propageait essentiellement tout le reste pour nous », a déclaré Meyers. « En tirant parti des subtilités du protocole, nous fournissions les informations les plus récentes que tous les hôtes diffusaient. »
Le groupe travaille maintenant pour informer les FAI où résident les hôtes infectés, dans l’espoir de nettoyer les infestations de robots. Meyers a déclaré que, pour une raison inconnue, le plus grand groupement géographique de systèmes infectés par Khelios – 25 % – était situé en Pologne. Les FAI basés aux États-Unis abritaient le deuxième plus grand contingent de bots Khelios. Meyers a déclaré qu’environ 80% des systèmes infectés par Khelios qu’ils avaient engloutis fonctionnaient Windows XPun système d’exploitation de plus en plus dangereux que Microsoft a publié il y a plus de dix ans.
Une répartition géographique des PC avec Khelios.B
On ne sait toujours pas si cette action offensive durera : elle suit de près une campagne similaire menée par Microsoft l’année dernière, qui ciblait une variante antérieure de Khelihos. Quelques semaines après l’effort de Microsoft, les mécréants responsables du botnet ont reconstruit le réseau, déployant la variante Khelihos.B qui a fait l’objet du démontage de cette semaine.
Khelios partage une grande partie de son code avec le ver Waledac, un ver P2P extrêmement virulent qui a également forcé les systèmes infectés à répandre de faux pourriels de pharmacie canadiens. Il est également largement considéré comme le petit-fils du Storm Worm. Les trois vers informatiques étaient responsables de la diffusion de faux logiciels antivirus, ainsi que du spam faisant la promotion des pharmacies Internet qui volent de nuit.
L’équipe de recherche à l’origine de ce dernier démantèlement a déclaré qu’elle était convaincue que Khelios était déployé sur les PC des victimes via des systèmes dits de paiement par installation, dans lesquels les pirates qui contrôlent un grand nombre de machines compromises les louent pour des installations de logiciels malveillants à d’autres malfaiteurs.
On ne sait toujours pas qui est responsable de l’une ou l’autre version de Khelihos, mais tous les signes pointent vers un pirate informatique qui utilise le pseudonyme « Peter Severa ». En juillet 2011, j’ai publié un article montrant que Severa exécutait un programme de paiement par installation qui versait des commissions aux affiliés pour effrayer les internautes afin qu’ils installent et paient de faux logiciels antivirus. Il s’avère que le logiciel malveillant que Severa a demandé à ses affiliés de distribuer a installé deux composants : un faux outil antivirus et une version de Khelios.B, le logiciel malveillant ciblé par le démontage de cette semaine. Dans une enquête de suivi publiée en janvier 2012, j’ai présenté des preuves que Severa est le même individu responsable des vers Waledac et Storm.
Atteint via la même adresse de messagerie instantanée qu’il utilise pour annoncer ses spams et ses faux programmes antivirus sur des forums clandestins, Severa a nié avoir jamais utilisé des botnets de spam ou diffusé de faux antivirus.
Mise à jour, 29 mars, 17 h 47 HE : Facebook a publié la déclaration suivante sur les informations selon lesquelles Khelios se propageait via le réseau social.
« Kelihos ne se propage pas sur Facebook, mais est abandonné par un botnet distinct, Fifesoc, que nous surveillons depuis plusieurs semaines. Nous avons corrigé de manière proactive tous les utilisateurs infectés dans notre point de contrôle des logiciels malveillants, et les utilisateurs peuvent détecter et supprimer eux-mêmes le virus en exécutant un produit antivirus mis à jour.
Nous sommes en discussion active avec des chercheurs qui tentent d’éliminer la menace, et nous avons largement réussi à bloquer les messages indésirables envoyés par ce botnet depuis qu’il a été détecté pour la première fois. Nous enquêtons toujours sur le problème et continuerons à itérer sur nos systèmes jusqu’à ce que Facebook ait complètement atténué cette menace. Pour l’instant, la campagne a été largement inefficace pour se propager sur Facebook et seul un pourcentage extrêmement faible d’utilisateurs a été infecté. Fifesoc se propage également via d’autres sites Web de médias sociaux, et comme toujours, nous encourageons les gens à ne pas cliquer sur des liens suspects et à signaler tout spam qu’ils observent sur le site. Vous pouvez trouver d’autres moyens de vous protéger sur Facebook ici : http://www.facebook.com/