[ad_1]

Aaron Wendel a ouvert les portes de son entreprise à des visiteurs inattendus le matin du 16 mars 2011. Le directeur de la technologie du fournisseur d’hébergement basé à Kansas City Internet en gros a découvert que deux maréchaux américains, une paire d’experts en informatique judiciaire et un avocat de Microsoft étaient venus appeler, armés de papiers leur permettant d’entrer dans l’établissement et de réquisitionner les disques durs des ordinateurs et des parties du réseau de la société d’hébergement. Toute personne tentant d’intervenir serait passible d’arrestation et de poursuites.

Quelques semaines plus tôt, Microsoft avait convaincu un juge fédéral (PDF) pour permettre au géant du logiciel de prendre le contrôle des disques durs des serveurs et de rediriger les adresses Internet dans le cadre d’un démantèlement minutieux du botnet Rustock, qui a longtemps régné comme la machine criminelle la plus active au monde.

Parallèlement à la visite de Wholesale Internet, les employés de Microsoft et les maréchaux américains servaient des commandes similaires à plusieurs autres fournisseurs d’hébergement dans des endroits du pays. Le plan d’attaque de Microsoft – qu’il a passé environ six mois à élaborer avec l’aide d’un groupe étroitement uni de partenaires industriels et universitaires – était d’étourdir le botnet Rustock, en déconnectant plus de 100 serveurs de contrôle que le botnet utilisait pour communiquer avec des centaines de des milliers de PC Windows infectés.

Seuls deux des serveurs de contrôle étaient situés en dehors des États-Unis ; le reste fonctionnait à partir de fournisseurs d’hébergement ici aux États-Unis, dont beaucoup chez des FAI relativement petits en Amérique centrale.

Concentrations des réseaux de contrôle de Rustock.

Microsoft a pris soin de ne porter aucune accusation selon laquelle les hébergeurs étaient complices d’avoir aidé les botmasters de Rustock ; cependant, certains de ces serveurs de contrôle existaient depuis plus d’un an et auraient très probablement continué à fonctionner sans perturbation si Microsoft et d’autres n’étaient pas intervenus. À l’aide des données recueillies par la société de sécurité FireEye, basée à Milpitas, en Californie, qui a aidé Microsoft lors du retrait, j’ai pu tracer l’emplacement et la durée de vie de chaque serveur de contrôle (la carte ci-dessus est cliquable et devrait vous permettre d’accéder aux détails de chaque serveur de contrôle ; les données brutes sont ici). La durée de vie moyenne de chaque contrôleur était de 251 jours, soit un peu plus de huit mois.

Wendel, de Wholesale Internet, a déclaré que son organisation prend des mesures contre tous les clients qui semblent enfreindre les conditions d’utilisation ou les politiques de l’entreprise. Mais il a insisté sur le fait que la visite de Microsoft et des maréchaux était la première fois qu’il entendait que l’un des 16 serveurs de commande et de contrôle de Rustock était situé sur son réseau.

« Pour être parfaitement honnête avec vous, nous n’avons jamais entendu parler de Rustock avant mercredi », a déclaré Wendel lors d’un entretien téléphonique vendredi dernier. Wendel a également déclaré qu’il n’avait entendu parler des serveurs problématiques ni de l’un ni de l’autre. Spamhaus ou Shadowserver, qui permettent aux FAI et aux hébergeurs de recevoir des rapports sur les serveurs de contrôle de botnet apparents et les infections de bot sur leurs réseaux. Shadowserver et Spamhaus contestent cette affirmation, affirmant que bien qu’ils n’aient certainement pas alerté Wholesale de toutes les adresses Internet problématiques qu’il aurait pu avoir sur son réseau, ils ont déposé plusieurs rapports auprès de la société au cours des six derniers mois qui auraient dû donner le occasion à l’entreprise d’examiner de plus près ses clients et ses systèmes.

POUSSER L’ENVELOPPE JURIDIQUE

Ce n’est pas la première fois que Microsoft utilise les tribunaux pour mettre un coup de genou à un important botnet de spam. En février 2010, Microsoft a convaincu un tribunal de lui donner la propriété de 276 noms de domaine qui étaient utilisés pour contrôler l’énorme Botnet Waledac.

Disques durs saisis. Image reproduite avec l’aimable autorisation de Microsoft.

Mais Microsoft a été contraint d’emprunter une voie juridique légèrement différente dans cette affaire civile, a déclaré Richard Boscovichavocat senior de Microsoft Unité des crimes numériques. Boscovich a déclaré que la société avait gagné en autorité pour l’action de la semaine dernière en utilisant une nouvelle interprétation juridique de La loi Lanhamles lois fédérales qui interdisent la contrefaçon de marque, la dilution de marque et la publicité mensongère.

Pendant des années, les autorités et les entreprises ont utilisé la loi Lanham pour obtenir l’autorisation de saisir une gamme de produits contrefaits, tels que des sacs à main de créateurs contrefaits et des DVD piratés. Dans ce cas, Microsoft a travaillé avec le géant pharmaceutique Pfizer, dont la marque à succès Viagra figurait parmi les marques les plus abusées dans les millions de spams envoyés quotidiennement par les PC infectés par Rustock. Selon une pièce justificative déposée par Pfizer (PDF), les enquêteurs de la société ont suivi les liens contenus dans les courriers indésirables et ont acheté des pilules annoncées comme du Viagra auprès des pharmacies en ligne malhonnêtes liées dans les messages.

Boscovich a déclaré qu’en plus de promouvoir les pharmacies escrocs, le spam de Rustock provoquait également des escroqueries à la loterie qui abusaient des marques de Microsoft. Microsoft voulait rassembler des preuves des « modèles » de spam (contenu HTML) que les serveurs de contrôle Rustock transmettaient aux machines infectées pour la livraison de courrier indésirable.

« Pour ce faire, nous devions potentiellement saisir des serveurs ou des disques durs, et mon travail en tant qu’avocat de l’équipe consistait à proposer une sorte de stratégie juridique, car le recours juridique que nous avions utilisé avec Waledac ne nous donnait pas le pouvoir de saisir » [physical property]», a déclaré Boscovich à BreachTrace.com. «Mais la loi Lanham contient une disposition qui vous permet – dans certaines circonstances – de saisir des articles contrefaits sans préavis, puis de tenir une audience sur la saisie plusieurs jours plus tard. Donc, ce que j’ai fait, c’est que j’ai utilisé l’analogique dans le cybermonde, pour obtenir des mandats de saisie dans toutes les machines à travers le pays qui étaient [managing] les robots. Et là, nous avions prévu que nous trouverions des modèles sur ces disques avec nos marques et que Pfizer serait présent, et nous saisirions ou copierions ces disques et ce serait la preuve.

Mais tout le monde n’est pas à l’aise avec le fait que Microsoft ou toute autre entreprise repousse les limites des lois civiles pour saisir des équipements numériques, en particulier du matériel serveur pouvant contenir des données allant bien au-delà de la portée de l’infraction alléguée utilisée pour justifier l’ordonnance de saisie.

« Lorsque vous traitez les disques durs comme rien de plus qu’un équipement par opposition à un référentiel d’informations, dont certaines peuvent être pertinentes pour le cas et d’autres non, vous pourriez rencontrer beaucoup de problèmes », a déclaré Marc Rachun ancien procureur spécialisé dans les délits informatiques pour le ministère américain de la Justice.

« Nous avons besoin d’un moyen meilleur et plus efficace de fermer les botnets aux États-Unis et dans le monde », a déclaré Rasch. « Je préférerais qu’il y ait un recours séparé à notre disposition qui intègre des protections de la vie privée. »

LE PÉAGE DE DÉMONTAGE ET L’EFFORT DE NETTOYAGE À VENIR

Selon l’ordonnance du tribunal, Microsoft a également obtenu le contrôle de plus de 1 500 noms de domaine que les PC infectés par Rustock pourraient utiliser pour générer eux-mêmes de nouveaux réseaux de contrôle. Les experts en sécurité pensent que Rustock dispose d’un mécanisme pour générer et rechercher de manière aléatoire de nouveaux noms de sites Web qui pourraient être enregistrés par le(s) botmaster(s) pour reprendre le contrôle du pool de PC encore infectés.

Source : CBL

En outre, l’effort de retrait impliquait l’achat d’un nombre indéterminé de domaines non encore enregistrés que Rustock pourrait rechercher dans les jours et les semaines à venir. Boscovich a refusé de dire combien de ces domaines de résurrection la société avait enregistrés, ou pendant combien de temps dans le futur elle les avait enregistrés. Mais il a déclaré que Microsoft et ses partenaires dans le retrait cherchaient l’aide des bureaux d’enregistrement et des registres de domaines pour éviter d’acheter de nouveaux domaines, qui, selon lui, peuvent devenir « très coûteux », même pour une courte durée.

L’étourdissement contre Rustock semble avoir fonctionné comme prévu, du moins pour le moment. Un nouveau rapport publié par le Liste de blocage composite (CBL), le groupe anti-spam qui rassemble les données utilisées par Spamhaus, montre que Rustock avait poussé des pics de spam qui représentent régulièrement 80 % de tous les spams. La CBL a déclaré que cela se produisait presque tous les deux jours, avec une baisse progressive du volume de spam sur le reste de la journée et parfois sur la suivante.

Extrait du rapport CBL :

« A 14h45 GMT le 16 mars, Rustock semble avoir été » attrapé « juste au début de l’un de ces pics, et est tombé brusquement et précipitamment à une production essentiellement nulle. La forme de l’événement est plus dramatique que les « vacances » de Rustock à la fin de décembre 2010 et au début de janvier 2011, et si elles se prolongent, elles représenteront un événement plus important que les Arrêt de McColo en novembre 2008.

Microsoft tourne maintenant son attention vers le nettoyage du pool substantiel de PC Windows qui restent infectés par Rustock. La société estime que plus d’un million d’ordinateurs pourraient encore être compromis par Rustock, qui, selon le géant du logiciel, est souvent imprégné d’un « breuvage du diable » composé de 16 à 20 autres programmes malveillants.

« Nous sommes convaincus, en travaillant avec nos partenaires de l’industrie, que les mécanismes de secours intégrés dans le logiciel malveillant ne réussiront pas » [in resurrecting the botnet]», a déclaré Boscovich. « Maintenant, notre objectif à long terme est d’informer les FAI et de les amener à aider à nettoyer les systèmes infectés – non seulement de Rustock, mais une foule d’autres mauvaises choses sur eux. »

Microsoft a déclaré qu’au moment du démontage de Waledac en février 2010, il avait observé environ 70 000 à 80 000 adresses IP infectées. « Grâce aux efforts de nettoyage de l’industrie et des clients, aidés par la dégradation naturelle, nous voyons actuellement un peu plus de 22 000 adresses IP infectées par Waledac, et nous nous attendons à ce que ce nombre continue de baisser », a déclaré la société dans un communiqué envoyé par e-mail. .

Cet effort de nettoyage pourrait prendre beaucoup de temps, même si Rustock reste inactif. Malheureusement, même si cet effort réussit, rien ne garantit que d’autres botnets ne surgiront pas pour combler le vide. Le spamming est si rentable que d’autres malfaiteurs vont bientôt s’en mêler. Personne n’a encore trouvé de solution à long terme et infaillible au problème.

En savoir plus sur l’impact du démantèlement du botnet Rustock :

FireEye : un aperçu de Rustock

Symantec : Le botnet Rustock a-t-il cessé de spammer ?

Trend Micro : Le dernier clou sur le cercueil de Rustock, ou est-ce ?

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *