le Département américain de la justice et le FBI ont reçu cette semaine une autorité sans précédent pour prendre le contrôle d’un botnet criminel qui a asservi des millions d’ordinateurs et utiliser ce pouvoir pour désactiver les logiciels malveillants sur les PC infectés.
Exemple de schéma de réseau de Coreflood, Source : FBI
La cible du démantèlement était « Coreflood », un tristement célèbre botnet qui a émergé il y a près d’une décennie en tant qu’arme virtuelle puissante conçue pour mettre hors ligne les sites Web ciblés. Au fil des ans, les escrocs qui exploitaient le botnet ont commencé à l’utiliser pour escroquer les propriétaires des PC victimes en volant des informations sur les comptes bancaires et en vidant les soldes.
Coreflood s’est transformé en une machine criminelle menaçante depuis son émergence en 2002. Comme je l’ai noté dans un article de 2008 il s’agit du même botnet qui a été utilisé pour voler plus de 90 000 $ à Joe Lopez en 2005, donnant le coup d’envoi de la première des nombreuses poursuites judiciaires très médiatisées qui seraient intentées contre les banques par des victimes de prises de contrôle de comptes commerciaux. Selon le ministère de la Justice, Coreflood a également été impliqué dans le vol de 241 866 $ à un entrepreneur de la défense du Tennessee ; 115 771 $ d’une société immobilière du Michigan ; et 151 201 $ d’une société d’investissement en Caroline du Nord.
En 2008, Coreflood avait infecté quelque 378 000 PC, y compris des ordinateurs dans des hôpitaux et des agences gouvernementales. Selon les recherches effectuées par Joe Stewartchercheur principal sur les logiciels malveillants pour Dell SecureWorks, les voleurs en charge de Coreflood avaient volé plus de 500 gigaoctets d’informations d’identification bancaires et d’autres données sensibles, suffisamment de données pour remplir 500 camionnettes si elles étaient imprimées sur papier.
Le 11 avril 2011, le Bureau du procureur américain pour le district du Connecticut a déposé une plainte civile contre 13 accusés inconnus (« John Doe ») responsables de la gestion de Coreflood, et a été autorisé à saisir 29 noms de domaine utilisés pour contrôler les opérations quotidiennes du botnet. Le gouvernement a également reçu une ordonnance d’interdiction temporaire (TRO) lui permettant d’envoyer aux PC individuels infectés par Coreflood une commande indiquant aux machines d’arrêter le logiciel bot de fonctionner.
Le gouvernement a pu le faire car il a également obtenu le droit de faire rediriger les serveurs de contrôle Coreflood vers des réseaux gérés par l’association à but non lucratif. Consortium des systèmes Internet (ISC). Lorsque les bots signalaient aux serveurs de contrôle – comme ils étaient programmés pour le faire périodiquement – les serveurs ISC répondaient avec des commandes indiquant au programme bot de quitter.
Président de l’ISC Barry VertNous avons déclaré que le gouvernement hésitait à supprimer le logiciel bot des machines infectées.
« Ils ne voulaient pas faire la désinstallation, juste quitter », a déclaré Greene. « Pas de bébé. Mais c’était important pour le DOJ de pouvoir le faire. Les gens disent que nous devrions être capables de faire cela depuis longtemps, et personne n’a fait ce que nous faisons jusqu’à présent.
Aucune autorité américaine chargée de l’application de la loi n’a jamais cherché à réquisitionner un botnet en utilisant une telle approche. L’année dernière, les autorités néerlandaises ont supprimé le botnet Bredolab en utilisant une méthode similaire qui dirigeait les utilisateurs concernés vers une page Web avertissant de l’infection. Le mois dernier, Microsoft a démantelé le botnet de spam Rustock en convainquant un tribunal de lui accorder le contrôle à la fois des domaines de contrôle du botnet et des disques durs utilisés par ces serveurs de contrôle.
Andrew Friedun expert en botnet qui gère Détèque, un cabinet de conseil en sécurité à Alexandria, en Virginie, a déclaré que l’action tardait à venir, mais il a applaudi les autorités fédérales pour l’avoir rendue possible. « Nous avons enfin vu exactement à quel point les forces de l’ordre et notre système judiciaire peuvent être efficaces lorsqu’ils s’attaquent à des problèmes en utilisant des méthodes stratégiques plutôt que politiques », a déclaré Fried.
Greene a déclaré que le travail incombait désormais aux FAI, aux entreprises de sécurité et Microsoft pour aider à nettoyer le pool de PC qui restent infectés par Coreflood. Microsoft cette semaine envoyé une mise à jour pour supprimer Coreflood des machines Windows des utilisateurs qui profitent de la Outil de suppression de logiciels malveillantsun outil anti-malware proposé via les mises à jour Windows et la mise à jour automatique qui recherche et supprime de nombreuses familles de logiciels infectieux.
Certains lecteurs peuvent être alarmés par cette nouvelle car ils se méfient de toute action gouvernementale impliquant l’accès à des ordinateurs individuels. Wired.com Kim Zetter écrit que le Fondation de la frontière électronique est mal à l’aise avec la décision du gouvernement, qui l’a qualifiée de « mesure extrêmement sommaire à prendre ». Cependant, comme l’a noté l’expert en cybercriminalité Gary Warner fait remarquer dans son blogle gouvernement offre aux utilisateurs d’ordinateurs touchés par le retrait de cette semaine la possibilité de « se retirer » des termes de l’ordonnance d’interdiction temporaire.
«Le ministère de la Justice et le FBI, en collaboration avec les fournisseurs de services Internet à travers le pays, se sont engagés à identifier et à notifier autant de victimes innocentes que possible qui ont été infectées par Coreflood, afin d’éviter ou de minimiser les futures pertes de fraude et le vol d’identité résultant de Coreflood », le FBI communiqué de presse États. « Les propriétaires identifiés d’ordinateurs infectés seront également informés de la manière de se retirer du TRO si, pour une raison quelconque, ils souhaitent que Coreflood continue de fonctionner sur leurs ordinateurs.”
Communiqué de presse du ministère américain de la Justice