NB : Cette histoire a été mise à jour plusieurs fois. Veuillez lire jusqu’à la fin
Les experts en sécurité suivent une baisse massive du nombre mondial de serveurs de contrôle pour divers botnets ZeuS qui sont en ligne, ce qui suggère qu’un effort de retrait coordonné a peut-être été exécuté par les forces de l’ordre et/ou des bénévoles de la communauté de recherche en sécurité agissant en tandem.
Image courtoisie ZeusTracker
Vendu entre 300 $ et 2 000 $ sur des forums clandestins ténébreux, Zeus est un kit logiciel qui permet aux criminels de mettre en place des réseaux distribués de PC piratés, généralement dans le but de siphonner les noms d’utilisateur, les mots de passe et les données financières des ordinateurs des victimes. Un criminel exploitant un botnet ZeuS peut contrôler les systèmes à distance à l’aide d’un serveur central de « commande et contrôle » (C&C), et il n’est pas rare qu’un seul serveur ZeuS C&C contrôle des dizaines de milliers d’hôtes infectés. Dans la plupart des cas, les PC infectés téléchargent en continu les données personnelles de la victime vers des « serveurs de dépôt », ou des référentiels de données en ligne spécifiés par le criminel contrôlant le botnet ZeuS.
Selon Roman Hussy, l’expert suisse des technologies de l’information qui dirige ZeusTracker – probablement le site le plus complet qui suit l’activité de ZeuS – le soir du 9 mars, le nombre de serveurs ZeuS C&C actifs qu’il suivait est tombé instantanément de 249 à 181.
Dans une conversation en ligne avec breachtrace sur la sécurité, Hüssy a déclaré que le ZeuS C&C moyen qu’il suit avait entre 20 000 et 50 000 ordinateurs infectés uniques sous sa coupe. Cela signifie que ce retrait peut avoir eu un impact massif sur un grand nombre d’opérations criminelles. Pour commencer, même si nous prenons une estimation prudente et supposons que chacun des C&C mis hors ligne ne contrôlait que 25 000 PC, cela signifierait que plus de 1,7 million de systèmes infectés ont été libérés de la captivité de ZeuS par ce retrait apparemment coordonné.
Hüssy a déclaré que les machines individuelles sont toujours infectées par ZeuS, mais il doute que les criminels qui les contrôlaient auparavant puissent reprendre ces systèmes. Hüssy a déclaré que, étant donné que les FAI qui étaient déconnectés avaient la réputation d’être « à l’épreuve des balles » – ou à l’abri du retrait par les forces de l’ordre – les criminels qui y utilisaient leurs contrôleurs ZeuS n’avaient probablement pas pensé à placer des serveurs de sauvegarde chez d’autres FAI.
Selon les données de Hüssy, la panne a commencé après qu’un fournisseur de services Internet appelé Troyak et apparemment situé au Kazakhstan a été déconnecté de ses fournisseurs Internet en amont. Troyak servi au moins six autres réseaux plus petits qui, selon Hussy, abritaient également un grand nombre de C&C ZeuS, et ces réseaux ont également été touchés par la disparition de Troyak.
On ne sait pas qui ou quoi est responsable de cet épisode. Mais une chose est claire : quelqu’un ou quelque chose s’empare directement de l’infrastructure utilisée pour distribuer et contrôler des centaines de botnets ZeuS dans le monde entier.
Le logiciel malveillant qui installe ZeuS sur les PC des victimes est le plus souvent distribué via le spam, qui prend souvent l’attrait d’un e-mail usurpé de l’Internal Revenue Service, de Facebook et d’autres organisations bien connues. Les messages incluent généralement un lien vers un site qui tente – en exploitant les vulnérabilités logicielles ou en trompant l’utilisateur – d’installer un petit programme qui permet aux attaquants de prendre le contrôle des systèmes à distance.
Andy fritPropriétaire de Détèque, un cabinet de conseil en sécurité informatique à Alexandria, en Virginie, suit le spam lié à ZeuS et les domaines liés à ZeuS depuis plusieurs mois maintenant. Les gangs de ZeuS qu’il a combattus ont depuis plus d’un an maintenant fait exploser ZeuS en utilisant principalement le Botnet Pushdoun autre groupe massif de machines piratées que les experts ont montré est disponible à la location sur des forums criminels pour les spammeurs et autres malfaiteurs contrôlés.
Fried a déclaré que les gangs ZeuS qu’il traquait lançaient une nouvelle campagne de spam tous les quelques jours. Mais le 27 février, le spam poussant ZeuS s’est brusquement arrêté et n’a pas repris depuis, a déclaré Fried.
« Personne ne semble encore comprendre pourquoi », a déclaré Fried, un ancien enquêteur sur la cyberfraude de l’IRS. « Tout ce que je sais, c’est que depuis le 27, nous n’avons vu aucun de nos spams ZeuS traditionnels. Je veux dire, nous les avons déjà vus faire des pauses, mais rien de tel.
Plus à venir. Restez à l’écoute.
Mise à jour, 12 h 10 HE : Paul Fergussonun chercheur sur les menaces de Trend Microm’a contacté pour dire que les fournisseurs d’hébergement satellite liés à Troyak étaient situés en Russie et en Ukraine, et non au Kazakhstan, comme le suggère le service de localisation d’adresses IP de MaxMind.
Mise à jour, 16h36 HE : Malheureusement, il semble que Troyak – le fournisseur Internet qui hébergeait tous ces réseaux infestés de ZeuS qui ont été mis hors ligne hier – a depuis découvert un autre fournisseur en amont pour le connecter à nouveau au reste de l’Internet.
Mise à jour, 11 mars, 17 h 48 HE : Zeustracker a récemment posté cette mise à jour sur son site : Mauvaise nouvelle : depuis Troyak ont commencé leur peering avec RTCOM-ASle nombre de serveurs ZeuS C&C actifs est passé de 149 Jusqu’à 191. Pour l’instant, plus de 40 Les serveurs ZeuS C&C sont de retour en ligne ! Cela signifie que les cybercriminels sont désormais en mesure de déplacer les données volées vers un endroit sûr ou un serveur de sauvegarde. De plus, les cybercriminels peuvent mettre à jour leurs fichiers de configuration servis aux clients infectés pour configurer un serveur de secours (si Troyak disparaît à nouveau d’Internet).
(501) 620-4118