Le FBI a nettoyé quelque 19 000 PC infectés par le malware bot Coreflood, a déclaré l’agence à un tribunal fédéral la semaine dernière. Cet effort fait partie d’une campagne juridique en cours et sans précédent visant à détruire l’une des machines criminelles en ligne les plus anciennes et les plus menaçantes jamais construites.
En avril, le ministère de la Justice et le FBI ont été autorisés à prendre le contrôle de Coreflood, un botnet criminel qui a asservi des millions d’ordinateurs. Le 11 avril 2011, le Bureau du procureur américain pour le district du Connecticut a été autorisé à saisir 29 noms de domaine utilisés pour contrôler les opérations quotidiennes du botnet et à rediriger le trafic destiné aux serveurs de contrôle vers un serveur de remplacement contrôlé par le FBI. Plus important encore, le FBI a reçu une ordonnance d’interdiction temporaire lui permettant d’envoyer aux ordinateurs individuels infectés par Coreflood une commande indiquant aux machines d’arrêter l’exécution du logiciel bot.
Dans une déclaration déposée auprès du tribunal de district, l’agent spécial du FBI Kenneth Keller a déclaré que le bureau avait émis environ 19 000 commandes de désinstallation aux ordinateurs infectés de deux douzaines de victimes identifiables aux États-Unis. Le FBI a déclaré avoir obtenu le consentement écrit des 24 victimes et qu’aucune n’a signalé de conséquences néfastes ou involontaires des commandes de désinstallation.
Keller a déclaré que le FBI avait directement informé des centaines de victimes identifiables et qu’il avait fourni des informations à environ 25 des plus grands fournisseurs de services Internet aux États-Unis, leur permettant d’informer leurs clients infectés.
« Le FBI a également fourni des informations sur les ordinateurs infectés aux forces de l’ordre à l’étranger », a déclaré Keller au tribunal. « Bien qu’il n’ait pas été possible d’informer le propriétaire de chaque ordinateur infecté, en partie en raison de la difficulté d’identifier les propriétaires d’ordinateurs et d’obtenir des informations de contact précises pour eux, la diminution de la taille du Botnet Coreflood est probablement attribuable en grande partie au succès des efforts de notification des victimes.
Keller a déclaré que le fonctionnement continu du serveur de remplacement n’était plus nécessaire pour empêcher les accusés encore non identifiés d’utiliser le botnet Coreflood pour commettre d’autres fraudes électroniques et bancaires, ou pour écouter les communications PC des victimes.
« Le fonctionnement continu du serveur de remplacement consomme des ressources considérables en matière d’application de la loi, car le serveur est étroitement surveillé pour garantir son bon fonctionnement », a écrit Keller. « Ces ressources peuvent être mieux allouées à d’autres enquêtes d’application de la loi, maintenant que la diminution de la taille du Botnet Coreflood s’est stabilisée. De plus, alors que le logiciel Coreflood commencera à fonctionner sur les ordinateurs encore infectés une fois le serveur de remplacement mis hors service, la saisie des domaines Coreflood se poursuivra raisonnablement pour empêcher les défendeurs d’accéder à ces ordinateurs ou aux données volées à ceux-ci. des ordinateurs. »
Une copie de la déclaration de Keller est disponible sur ce lien (PDF).