Microsoft a annoncé aujourd’hui l’exécution d’un démantèlement soigneusement planifié de dizaines de botnets alimentés par Zeus et SpyEye – de puissants chevaux de Troie bancaires qui ont aidé des voleurs à voler plus de 100 millions de dollars à des petites et moyennes entreprises aux États-Unis et à l’étranger.
Microsoft, US Marshals, effectue une visite surprise dans un centre d’hébergement de Scranton, en Pennsylvanie.
Dans un dossier juridique consolidé, Microsoft a reçu l’approbation du tribunal pour saisir plusieurs serveurs à Scranton, Penn. et Lombard, Illinois contrôlaient des dizaines de botnets ZeuS et SpyEye. La société a également obtenu l’autorisation de prendre le contrôle de 800 domaines utilisés par les machines criminelles. La société a publié une vidéo montrant une partie des saisies, effectuées à la fin de la semaine dernière avec l’aide des US Marshals.
Il s’agit de la dernière d’une série de suppressions de botnets exécutées par l’équipe juridique de Microsoft, mais il semble que ce soit la première dans laquelle la société a invoqué la loi RICO (Racketeer Influenced and Corrupt Organizations Act).
« La loi RICO est souvent associée à des affaires contre le crime organisé ; il en va de même pour l’application de la section civile de la loi à cette affaire contre ce que nous pensons être une organisation de personnes derrière la famille de botnets Zeus », a écrit Richard Boscovich, avocat principal de l’unité des crimes numériques de Microsoft. « En incorporant l’utilisation de la loi RICO, nous avons pu poursuivre une action civile consolidée contre toutes les personnes associées à l’opération criminelle Zeus, même si les personnes impliquées dans « l’organisation » ne faisaient pas nécessairement partie de l’entreprise principale. »
Il est trop tôt pour dire quel sera l’impact de cet effort ou s’il durera longtemps. Les précédents démantèlements de Microsoft – tels que son ciblage du Kélihos botnet l’automne dernier – ont produit des résultats mitigés. Il y a également des indications que ce retrait peut avoir eu un impact sur des sites légitimes – bien que piratés – que les escrocs utilisaient dans leurs opérations de botnet. Selon les données enregistrées par Abus.ch, un site de sécurité suisse qui suit les serveurs de contrôle ZeuS et SpyEye, certains des domaines saisis par Microsoft semblent appartenir à des entreprises légitimes dont les sites ont été compromis et utilisés pour héberger des composants de l’infrastructure malveillante. Parmi eux se trouve un site en Italie qui vend des étuis pour iPhone, un forum de réseautage social thaïlandais et un site à San Diego qui enseigne des cours de danse.
L’effort met également en lumière un groupe insaisissable de cyber-voleurs opérant à partir de l’Ukraine qui ont été étiquetés comme les cerveaux derrière une grande partie des pertes bancaires en ligne au cours des cinq dernières années, y compris les auteurs de ZeuS (Slavik/Monstr) et SpyEye (Harderman/Gribodemon), deux identités dévoilées sur ce blog il y a plus de 18 mois. Au cours des dernières années, BreachTrace a amassé un trésor virtuel de données sur ces personnes et d’autres personnes nommées dans la plainte. Recherchez un article de suivi avec plus de détails sur ces acteurs.
Une ventilation des documents judiciaires liés à cette affaire est disponible sur zeuslegalnotice.com.