[ad_1]

Des millions de sites Web ont été fermés lundi matin après Microsoft a exécuté une attaque sournoise légale contre un réseau de logiciels malveillants considéré comme responsable de plus de 7,4 millions d’infections de PC Windows dans le monde.

Un diagramme montrant comment les escrocs ont abusé des services de no-ip.com pour contrôler les réseaux de logiciels malveillants.  Source : Microsoft.

Un diagramme montrant comment les escrocs ont abusé des services de no-ip.com pour contrôler les réseaux de logiciels malveillants. Source : Microsoft.

Dans sa dernière tentative d’exploiter la puissance du système juridique américain pour lutter contre les logiciels malveillants et les cybercriminels, Microsoft a convaincu un tribunal du Nevada d’accorder au géant du logiciel l’autorité sur près de deux douzaines de domaines appartenant à no-ip.comune société qui fournit des services de noms de domaine dynamiques.

Les services DNS dynamiques sont utilisés pour mapper les noms de domaine à une adresse Internet numérique qui peut changer fréquemment. En règle générale, les plus gros utilisateurs de services DNS dynamiques sont les internautes à domicile qui souhaitent avoir un nom de domaine qui pointera toujours vers leur ordinateur personnel, quel que soit le nombre de fois que leur FAI modifie l’adresse Internet numérique attribuée à cet ordinateur.

Dans ce cas, cependant, les attaquants responsables de l’exploitation de deux familles de logiciels malveillants – les chevaux de Troie d’accès à distance connus sous le nom de « njrat » et « njw0rm” — utilisaient no-ip.comde garantir que les PC qu’ils ont infectés pourront toujours accéder aux serveurs Internet.

Microsoft a déclaré au tribunal que les malfaiteurs qui utilisaient ces deux souches de logiciels malveillants exploitaient plus de 18 400 noms d’hôtes appartenant à no-ip.com. Le 26 juin, le tribunal a accordé à Microsoft le pouvoir de prendre temporairement le contrôle de 23 domaines appartenant à no-ip.com – essentiellement tous les domaines qui alimentent les services DNS dynamiques gratuits de no-ip.com.

Microsoft était censé filtrer le trafic entrant et sortant de ces plus de 18 400 noms d’hôte et permettre au trafic inoffensif restant de circuler vers sa destination légitime. Mais selon le responsable marketing de no-ip.com Nathalie Goguence n’est pas du tout ce qui s’est passé.

« Ils ont fait des commentaires selon lesquels ils n’avaient supprimé que les mauvais noms d’hôte et étaient censés rediriger tout le bon trafic vers les utilisateurs, mais cela ne se produit pas et ils ne sont pas en mesure de gérer nos volumes de trafic », a déclaré Goguen. « De nombreux utilisateurs légitimes qui utilisent nos services ont été indisponibles toute la journée. »

Goguen a déclaré que tandis que Microsoft affirmait qu’il y avait plus de 18 000 noms d’hôtes malveillants impliqués, no-ip.com n’a pu en trouver qu’un peu plus de 2 000 dans cette liste qui étaient toujours actifs lundi matin. Pendant ce temps, quelque quatre millions de noms d’hôte restent hors ligne, les demandes d’assistance client s’accumulant.

« Donc, pour aller après environ 2 000 mauvais sites, [Microsoft] a abattu quatre millions », a déclaré Goguen.

Microsoft a déclaré au tribunal du Nevada qu’en dépit de nombreux rapports publiés par des sociétés de sécurité Internet au cours de l’année écoulée sur de grands volumes d’activités malveillantes émanant du service de no-ip.com, la société « a systématiquement omis de prendre des mesures suffisantes pour corriger, remédier ou empêcher le abus et de garder ses domaines exempts d’activités malveillantes.

Mais selon Goguen, la première fois que Microsoft a fait part de ses préoccupations à no-ip.com, c’était à 7 heures du matin le 30 juin, lorsque le PDG de la société a reçu un coup à la porte de sa maison familiale et a reçu une copie de l’ordonnance du tribunal. accordant à Microsoft l’autorité sur les 23 domaines no-ip.com.

« Nous travaillons en permanence avec les forces de l’ordre et notre service d’abus répond aux demandes d’abus dans les 24 heures », a déclaré Goguen. « C’est assez triste que Microsoft ait dû prendre des mesures aussi extrêmes pour y parvenir. »

Goguen n’est pas le seul à croire que Microsoft a écrasé une mouche avec l’équivalent d’une bombe atomique. Certaines des précédentes attaques légales de Microsoft ciblaient les fournisseurs d’hébergement « à l’épreuve des balles » – ceux qui promettent de garder en ligne les clients sommaires (et bien rémunérés) malgré la pression des entreprises de sécurité et des forces de l’ordre. Mais selon Dimitri Alperovitchco-fondateur d’une société de sécurité FouleStriketraiter no-ip.com comme l’un de ces fournisseurs louches est une erreur.

« Ils ont toujours été très réactifs envers les chercheurs en sécurité et les forces de l’ordre », a déclaré Alperovitch à propos de no-ip.com. « Je ne les considère pas comme un hôte à l’épreuve des balles ou des abus. »

Pendant ce temps, Goguen a déclaré que no-ip.com envisageait ses options légales pour répondre à la panne et aux allégations de Microsoft selon lesquelles la société ferme les yeux sur les plaintes pour abus.

« Nous en parlons avec nos avocats, mais en ce moment, nous faisons tout ce que nous pouvons pour résoudre ce problème, et nous avons besoin que nos utilisateurs comprennent cela. »

Parallèlement à l’action contre no-ip.com, Microsoft a également nommé et accusé deux hommes – des développeurs de logiciels censés résider au Koweït et en Algérie – d’avoir créé et vendu le njrat et le njw0rm.

La plainte contre no-ip, les auteurs de logiciels malveillants accusés, et le reste des divers documents juridiques déposés par Microsoft dans cette affaire sont disponibles sur ce lien.

Capacités de la "njrar" malware, comme décrit dans le dossier judiciaire de Microsoft.

Capacités du logiciel malveillant « njrat », telles que décrites dans le dossier judiciaire de Microsoft.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *