La semaine dernière, Microsoft Corp. a fait la une des journaux lorsqu’il a remporté une victoire juridique non conventionnelle, voire sans précédent : convaincre un tribunal américain de lui permettre de prendre le contrôle du réseau d’un fournisseur de services Internet chinois dans le cadre d’une répression contre le piratage.
J’ai rencontré le stratège juridique en chef de Microsoft peu de temps après l’exécution de cette ordonnance, dans le but de mieux comprendre ce qu’ils voyaient après avoir pris le contrôle de plus de 70 000 domaines étroitement associés à la distribution de centaines de souches de logiciels malveillants. Microsoft a déclaré que quelques heures après l’octroi de l’ordre de prise de contrôle, plus de 35 millions d’adresses Internet uniques téléphonaient à ces 70 000 domaines malveillants.
Tout d’abord, la version courte de la façon dont nous en sommes arrivés là : les enquêteurs de Microsoft ont découvert que les magasins d’informatique en Chine vendaient des PC équipés de versions du système d’exploitation Windows préchargées avec le logiciel malveillant « Nitol », et que ces systèmes téléphonaient à des sous-domaines à 3322.org. Le géant du logiciel a ensuite identifié des milliers de sites sur 3322.org qui desservaient Nitol et des centaines d’autres souches de logiciels malveillants, et a convaincu un tribunal fédéral de Virginie de lui accorder un contrôle temporaire sur des parties du fournisseur DNS dynamique.
Microsoft a pu le faire parce que – alors que 3322.org appartient à une entreprise en Chine – le registre dot-org est géré par une société basée en Virginie. Pourtant, comme nous pouvons le voir sur le graphique ci-dessus fourni par Microsoft, les infections à Nitol étaient en fait le moindre des problèmes hébergés sur 3322.org (plus à ce sujet plus tard).
Pour en savoir plus sur l’issue de la saisie, j’ai parlé avec Richard Boscovich, un avocat senior de l’unité des crimes numériques (DCU) de l’entreprise qui a aidé à coordonner cette action et les précédentes attaques légales sournoises contre les paradis des logiciels malveillants. Notre entretien a eu lieu quelques heures seulement après que Microsoft ait été autorisé à prendre le contrôle des plus de 70 000 sous-domaines de 3322.org. J’ai demandé à Boscovich de décrire ce que l’entreprise voyait.
« Les chiffres sont assez importants », a-t-il déclaré. « Juste un aperçu rapide de ce que nous avons vu jusqu’à présent, c’est plus de 35 millions d’adresses IP uniques [addresses] essayant de se connecter aux 70 000 sous-domaines.
Certes, les adresses IP peuvent être très dynamiques – un seul ordinateur peut avoir plusieurs adresses IP sur une période de quelques jours, par exemple. Mais même s’il y avait deux fois moins de PC infectés que d’adresses IP uniques que Microsoft a observées rapportant à ces 70 000 domaines, nous parlerions toujours d’un amalgame de PC compromis qui est bien plus important que n’importe quel botnet connu sur la planète aujourd’hui. Dans quelle mesure Microsoft était-il certain que ces 35 millions d’adresses IP uniques étaient en fait des ordinateurs infectés ?
« Nous avons commencé à identifier ce que notre société AV bloque », a expliqué Boscovich. « Nous avons vu de nombreux types de logiciels malveillants différents, des enregistreurs de frappe aux DDoS outils et botnets qui y retournent. Notre position serait que si vous vous adressiez à ces 70 000 sous-domaines, le but serait que vous y soyez dirigé pour être infecté ou que vous soyez déjà infecté par quelque chose. Et que quelque chose représentait environ 560 souches de logiciels malveillants que nous avons identifiées [tracing back] à 3322.org.
DOMMAGE COLLATÉRAL?
Les actions unilatérales passées de Microsoft contre les fournisseurs de logiciels malveillants et les botnets ont engendré leur part de réactions sévères de la part des membres de la communauté de la sécurité, et je m’attendais à ce que celle-ci soit également controversée. Je n’ai pas été déçu : Rédaction pour le site d’information sur les politiques d’Internet CircleIDmilitant antispam de longue date Suresh Ramasubramanian a averti que l’action de Microsoft causerait des « dommages collatéraux extrêmement élevés », à la fois aux sites innocents et aux enquêtes en cours.
« Ainsi, à moyen et long terme … tout ce que Microsoft DCU et M. Boscovich ont réalisé, ce sont des citations élogieuses dans divers journaux et une image publique de combattants intrépides et infatigables menant une bataille solitaire contre la cybercriminalité», Ramasubramanian a écrit. « Ce n’est manifestement pas le cas. Il existe plusieurs autres organisations (entreprises, chercheurs indépendants en sécurité, forces de l’ordre dans plusieurs pays) qui sont impliquées dans l’étude et l’atténuation des botnets, et une grande partie de leur travail est brusquement interrompue (mettant en péril les enquêtes en cours, détruisant des preuves et une surveillance soigneusement implantée). ”
Boscovich a déclaré que Microsoft avait travaillé dur pour concentrer sa demande légale sur les sous-domaines 3322.org qui semblaient ne rien faire d’autre que de servir de contrôleurs, de mises à jour ou de référentiels de données pour les opérations de logiciels malveillants. Il a noté que les 70 000 domaines sur lesquels le tribunal lui avait accordé le contrôle n’étaient qu’un petit sous-ensemble (moins de 3 %) des 2,75 millions de sous-domaines actuellement hébergés sur 3322.org.
« Il y a toujours un exercice d’équilibre », m’a dit l’avocat de Microsoft. « Vous voulez vous assurer que vous le faites de manière à minimiser les dommages collatéraux sur les sites légitimes. L’aspect unique de cette action a été les efforts considérables que nous avons déployés pour nous assurer que nous supprimions et supprimions chirurgicalement 70 000 sous-domaines sur un domaine hébergeant 2,75 millions de sous-domaines au total. Nous avons développé la technologie avec Nominal où nous avons pu – une fois qu’un domaine nous a été signalé – ne supprimer que ces 70 000, permettant à tous les autres sous-domaines qui dépassent le cadre de notre commande de simplement résoudre et de ne pas être impactés.
Boscovich a ajouté que Microsoft et Nominum travailleront avec les fournisseurs de services Internet pour aider à nettoyer les machines vues rapportant aux sites hostiles 3322.org.
« Beaucoup de gens dans la communauté de la sécurité aiment faire beaucoup de recherches, ils aiment s’asseoir sur ces choses et voir ce qui se passe, mais parfois la bonne chose à faire est d’aller voir les victimes, de leur dire qu’elles ont été victimisées, dites-leur qu’ils victimisent les autres et aidez-les à nettoyer », a-t-il dit.
D’autres sommités du domaine de la recherche en sécurité ont exprimé leur surprise face à l’ampleur de la dernière action en justice de Microsoft, mais ont déclaré qu’il était trop tôt pour dire quel impact cela aurait sur l’écosystème des logiciels malveillants. Dan Hubbarddirecteur technique chez OpenDNSa déclaré que son entreprise bloquait les 2,75 millions de sous-domaines sur 3322.org depuis près de deux ans.
« Nous recevons très rarement des plaintes, et même aujourd’hui, nous recevons 1,1 million de demandes. [attempting to go to] 3322.org sans aucune plainte », a déclaré Hubbard. « La grande majorité n’est pas bonne. »
Mais il a dit qu’il se demandait ce que Microsoft allait faire avec toutes les informations sensibles qui transitent par les domaines 3322.org engloutis. Comme je l’ai noté dans mon article précédent, les sous-domaines de 3322.org ont longtemps été associés à des logiciels malveillants ciblés utilisés dans des attaques d’espionnage contre les États-Unis et d’autres sociétés occidentales.
« Il y aura pas mal d’informations sensibles qui traverseront le flux, des détails de la carte de crédit aux dossiers propriétaires de l’entreprise », a déclaré Hubbard. « Il sera intéressant de savoir quelles sont les limites de cela, ce qu’ils font avec ces données, et vont-ils informer les entreprises qui sont impactées. »
Joe Stewartun analyste principal de la sécurité avec Dell Secure Worksa accepté, qualifiant la portée de l’ordre d’interception de « sans précédent ».
« Il est un peu surprenant que Microsoft se soit donné autant de mal », a déclaré Stewart. « Qu’ils interceptent ou tentent d’intercepter des millions de requêtes malveillantes tout en permettant au service de fonctionner est sans précédent, un peu comme s’ils agissaient comme « le grand pare-feu de Microsoft ». Ce n’est pas le gouffre de ces sous-domaines qui est nouveau, c’est qu’ils se sont injectés légalement entre ce service en Chine et ses utilisateurs. Manipulé de manière responsable, cela pourrait être une bonne chose.
LE VRAI JOHN DOE VA-T-IL AVANCER ?
Comme d’autres avant elle, cette dernière salve juridique de Microsoft vise à démasquer les individus derrière l’activité criminelle présumée sur 3322.org. Pour ce faire, il utilise des requêtes dites « John Doe », qui sont des procédures judiciaires qui peuvent permettre à un plaignant ou à un procureur de recueillir des informations sur un certain nombre d’individus, dans le but de connaître leur identité et/ou de prouver qu’ils étaient parties à un complot.
J’ai demandé à Boscovich si les requêtes John Doe de Microsoft lors de précédentes suppressions ciblées de botnets avaient produit des pistes. Plus précisément, je voulais savoir s’il y avait des mises à jour du John Does nommé en relation avec son ciblage du botnet spam Kelihos. Dans ce cas, Microsoft a identifié Andrey N. Sabelnikov, 31 ans, de Saint-Pétersbourg, en Russie, ancien développeur de système et chef de projet pour Agnitum, une société russe d’antivirus.
« Dans l’affaire Kelihos, nous avons nommé l’AV russe… l’individu qui, selon nous, était le développeur du code pour Kelihos », a déclaré Boscovich. « Nous résolvons cette affaire maintenant, et très bientôt, vous entendrez une déclaration qui sera publiée. »
Peu de temps après que cette histoire ait éclaté, Sabelnikov a réfuté avec véhémence les allégations de Microsoft, affirmant qu’il n’avait jamais participé à la gestion de botnets ou de tout autre programme similaire. Mais selon Boscovich, Microsoft publiera bientôt une déclaration qui dit le contraire.
« Je pense qu’une fois que vous aurez vu la déclaration qu’il a acceptée et que nous allons publier dans les prochains jours sur l’affaire Kelihos, je pense que cela mettra fin à cela. Je pense que nous avons été assez précis sur le fait que lorsque nous nommons quelqu’un, nous savons qui il est. Et il y a eu beaucoup de cas renvoyés aux forces de l’ordre, et beaucoup de preuves sur la base desquelles ils sont beaucoup plus avancés maintenant sur la base de ce que nous avons fait. Donc, quiconque pense que ces choses ne sont pas efficaces, à partir d’une simple identification des individus derrière cela, se trompe.