Microsoft a déclaré jeudi avoir convaincu un tribunal fédéral américain de lui accorder le contrôle d’un botnet soupçonné d’être étroitement lié à des versions contrefaites les fenêtres qui ont été vendus dans divers magasins d’informatique à travers la Chine. La victoire judiciaire met également en évidence un service Internet chinois qui, selon les experts, est depuis longtemps associé à des attaques d’espionnage ciblées contre des entreprises américaines et européennes.
Source : Microsoft.com
Microsoft a déclaré qu’il cherchait à perturber une opération de chaîne d’approvisionnement contrefaite qui vendait des versions contrefaites de PC Windows préchargés avec une souche de logiciels malveillants appelée « Nitol», qui permet aux attaquants de contrôler les systèmes à distance à diverses fins néfastes.
Dans des documents juridiques descellés jeudi par le Tribunal de district des États-Unis pour le district oriental de VirginieMicrosoft a décrit comment ses chercheurs ont acheté des ordinateurs dans différentes villes de Chine et ont découvert qu’environ 20 % d’entre eux étaient déjà infectés par Nitol.
On ne sait pas exactement combien de systèmes sont infectés par Nitol, mais cela ne semble pas être une menace particulièrement importante. Microsoft a déclaré au tribunal qu’il avait détecté près de 4 000 instances d’ordinateurs Windows infectés par une version du logiciel malveillant, mais que ce nombre ne représentait probablement « qu’un sous-ensemble du nombre d’ordinateurs infectés ». La société a déclaré que la majorité des infections Nitol et des serveurs Internet utilisés pour contrôler le botnet étaient centrés autour de la Chine, bien que plusieurs États américains – dont la Californie, New York et la Pennsylvanie – abritaient un nombre important d’hôtes compromis.
Surnommé « Opération b70» par Microsoft, les manœuvres de la salle d’audience sont les dernières d’une série d’attaques furtives légales que le géant du logiciel a exécutées contre des opérations de cybercriminalité à grande échelle. Les cibles précédentes comprenaient les botnets Waledac, Rustock, Kelihos et ZeuS.
L’objectif principal de ce retrait était 3322.org, un fournisseur chinois de « DNS dynamique » (DDNS). Les fournisseurs DDNS offrent généralement des services gratuits qui permettent à des millions d’utilisateurs légitimes d’héberger des sites Web sur des serveurs qui changent fréquemment d’adresse Internet. Ce type de service est utile pour les personnes qui souhaitent héberger un site Web sur une adresse Internet à domicile qui peut changer de temps à autre, car les services DNS dynamiques peuvent être utilisés pour mapper facilement le nom de domaine à la nouvelle adresse Internet de l’utilisateur chaque fois que ça arrive à changer.
Malheureusement, ces fournisseurs de DNS dynamiques sont extrêmement populaires dans la communauté des attaquants, car ils permettent aux malfaiteurs de maintenir leurs sites malveillants et frauduleux même lorsque les chercheurs parviennent à suivre l’adresse IP de l’attaquant et à convaincre le FAI responsable de cette adresse de déconnecter le malfaiteur. Dans de tels cas, le DNS dynamique permet au propriétaire du domaine attaquant de simplement rediriger le site d’attaque vers une autre adresse Internet qu’il contrôle.
Microsoft a déclaré au tribunal qu’il avait trouvé « un nombre impressionnant de 500 souches différentes de logiciels malveillants hébergés sur plus de 70 000 sous-domaines » sur 3322.org. Le tribunal a accordé à Microsoft le contrôle temporaire des serveurs de noms pour ce domaine. Alors que 3322.org appartient à une entreprise chinoise, le registre dot-org est contrôlé par le Registre d’intérêt publicune société basée à Reston, en Virginie.
Bien que Microsoft n’ait pas explicitement abordé cette question dans son dossier, les experts affirment que 3322.org est depuis longtemps associé à des logiciels malveillants utilisés dans des attaques très ciblées visant à voler des secrets d’entreprise et gouvernementaux aux États-Unis et à d’autres entreprises occidentales.
« La grande majorité des interactions avec les noms d’hôte 3322.org pour ceux en dehors de l’Asie – en particulier ceux aux États-Unis sont malveillants », a déclaré Steven Adairun expert en sécurité avec Shadowserver.org, une organisation à but non lucratif qui aide les FAI à suivre les attaques de logiciels malveillants. « Bien qu’il ne soit pas aussi répandu aujourd’hui, le domaine 3322.org est depuis plusieurs années un point chaud pour les logiciels malveillants utilisés pour mener le cyberespionnage. Nous pouvons déjà dire que cette décision a eu un impact sur les opérations de cybercriminalité.
Mais on ne sait pas dans quelle mesure cette action sera efficace pour bloquer cette activité, ou plus que temporairement perturber les opérations de Nitol.
Joe Stewartdirecteur de la recherche sur les logiciels malveillants pour Dell Secure Worksposté un message à Twitter.com ce matin, notant que seulement 57% des sous-domaines qu’il suit comme étant liés à une activité d’attaque ciblée de type espionnage ont été perturbés par l’action de Microsoft.
Une partie du problème peut être qu’une grande partie des logiciels malveillants qui appellent 3322.org ont des instructions intégrées dans leur constitution génétique pour rechercher des commandes et des mises à jour auprès de nombreux autres fournisseurs de DNS dynamiques non concernés par l’ordonnance du tribunal, a déclaré Günter Ollmannvice-président de la recherche dans une société de sécurité Damballa.
« Ce que nous avons vu, c’est que nous suivons actuellement environ 70 botnets différents qui avaient des noms de domaine de commande et de contrôle dans 3322 », a déclaré Ollmann. « Mais tous ceux-ci ont un nom de domaine secondaire [controllers] en dehors de 3322.org.
Pour compliquer encore les choses, 3322.org semble maintenant être informer les utilisateurs concernés sur la façon de contourner la redirection de leurs sites vers les serveurs de Microsoft.
Microsoft a mis gratuitement à disposition les documents juridiques relatifs à cette affaire sur noticeofplaidings.com.