Le FBI a annoncé aujourd’hui la perturbation du botnet Qakbot dans le cadre d’une opération internationale d’application de la loi qui a non seulement saisi l’infrastructure, mais a également désinstallé les logiciels malveillants des appareils infectés.
Au cours de l’opération d’application de la loi du week-end dernier, l’Opération Duck Hunt, le FBI a redirigé les communications réseau du botnet vers des serveurs sous son contrôle, permettant aux agents d’identifier environ 700 000 appareils infectés (dont 200 000 situés aux États-Unis).
Après avoir pris le contrôle du botnet, le FBI a mis au point une méthode pour désinstaller le malware des ordinateurs des victimes, démantelant ainsi efficacement l’infrastructure du botnet, depuis les PC des victimes jusqu’aux propres ordinateurs des opérateurs du malware.
Qu’est-ce que Qakbot ?
Avant d’apprendre comment le FBI a désinstallé Qakbot des ordinateurs, il est essentiel de comprendre comment le malware a été distribué, quel comportement malveillant il a exécuté et qui l’a utilisé.
Qakbot, alias Qbot et Pinkslipbot, a débuté comme cheval de Troie bancaire en 2008, utilisé pour voler des informations d’identification bancaires, des cookies de sites Web et des cartes de crédit pour commettre des fraudes financières.
Cependant, au fil du temps, le logiciel malveillant a évolué pour devenir un service de distribution de logiciels malveillants utilisé par d’autres acteurs malveillants pour obtenir un premier accès aux réseaux afin de mener des attaques de ransomware, des vols de données et d’autres cyberactivités malveillantes.
Qakbot est distribué via des campagnes de phishing qui utilisent divers leurres, notamment des attaques par courrier électronique en chaîne de réponse, c’est-à-dire lorsque les acteurs malveillants utilisent un fil de discussion volé, puis y répondent avec leur propre message et un document malveillant joint.
Ces e-mails incluent généralement des documents malveillants sous forme de pièces jointes ou de liens permettant de télécharger des fichiers malveillants qui installent le logiciel malveillant Qakbot sur l’appareil d’un utilisateur.
Ces documents varient selon les campagnes de phishing et vont des documents Word ou Excel contenant des macros malveillantes, des fichiers OneNote avec des fichiers intégrés, aux pièces jointes ISO avec des exécutables et des raccourcis Windows. Certains d’entre eux sont également conçus pour exploiter les vulnérabilités Zero Day de Windows.
Quelle que soit la manière dont le malware est distribué, une fois Qakbot installé sur un ordinateur, il sera injecté dans la mémoire d’un processus Windows légitime, tel que wermgr.exe ou AtBroker.exe, pour tenter d’échapper à la détection par un logiciel de sécurité.
Par exemple, l’image ci-dessous représente le malware Qbot injecté dans la mémoire du processus légitime wermgr.exe.
Une fois le malware lancé sur un appareil, il recherchera les informations à voler, y compris les e-mails d’une victime, pour les utiliser dans de futures campagnes de phishing par e-mail.
Cependant, les opérateurs de Qakbot se sont également associés à d’autres acteurs malveillants pour faciliter la cybercriminalité, par exemple en fournissant aux gangs de ransomwares un accès initial aux réseaux d’entreprise.
Dans le passé, Qakbot s’est associé à plusieurs opérations de ransomware, notamment Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex et, plus récemment, Black Basta et BlackCat/ALPHV.
Le FBI affirme qu’entre octobre 2021 et avril 2023, les opérateurs de Qakbot ont gagné environ 58 millions de dollars grâce aux paiements de ransomwares.
Comment le FBI a désinstallé Qakbot
Dans le cadre de l’annonce d’aujourd’hui, le FBI déclare avoir réussi à démanteler le botnet en s’emparant de l’infrastructure du serveur de l’attaquant et en créant un outil de suppression spécial qui a désinstallé le malware Qakbot des appareils infectés.
Selon une demande de mandat de saisie publiée par le ministère de la Justice, le FBI a pu accéder aux ordinateurs administratifs de Qakbot, ce qui a aidé les forces de l’ordre à cartographier l’infrastructure de serveur utilisée dans le fonctionnement du botnet.
Sur la base de son enquête, le FBI a déterminé que le botnet Qakbot utilisait des serveurs de commande et de contrôle de niveau 1, 2 et 3, qui sont utilisés pour émettre des commandes à exécuter, installer des mises à jour de logiciels malveillants et télécharger des charges utiles supplémentaires de partenaires sur les appareils. .
Les serveurs de niveau 1 sont des appareils infectés sur lesquels est installé un module « supernode » qui fait partie de l’infrastructure de commande et de contrôle du botnet, certaines des victimes étant situées aux États-Unis. Les serveurs de niveau 2 sont également des serveurs de commande et de contrôle, mais les opérateurs Qakbot les exploitent, généralement à partir de serveurs loués en dehors des États-Unis.
Le FBI affirme que les serveurs de niveau 1 et de niveau 2 sont utilisés pour relayer les communications cryptées avec les serveurs de niveau 3.
Ces serveurs de niveau 3 font office de serveurs centraux de commande et de contrôle pour émettre de nouvelles commandes à exécuter, de nouveaux modules de logiciels malveillants à télécharger et des logiciels malveillants à installer provenant des partenaires du botnet, tels que les gangs de ransomwares.
Toutes les 1 à 4 minutes, le malware Qakbot sur les appareils infectés communiquerait avec une liste intégrée de serveurs de niveau 1 pour établir une communication cryptée avec un serveur de niveau 3 et recevoir des commandes à exécuter ou de nouvelles charges utiles à installer.
Cependant, après que le FBI ait infiltré l’infrastructure du Qakbot et les appareils des administrateurs, ils ont accédé aux clés de cryptage utilisées pour communiquer avec ces serveurs.
À l’aide de ces clés, le FBI a utilisé un appareil infecté sous son contrôle pour contacter chaque serveur de niveau 1 et lui faire remplacer le module « supernode » Qakbot déjà installé par un autre créé par les forces de l’ordre.
Ce nouveau module de supernode contrôlé par le FBI utilisait différentes clés de chiffrement inconnues des opérateurs de Qakbot, les excluant ainsi de leur propre infrastructure de commande et de contrôle, car ils n’avaient plus aucun moyen de communiquer avec les serveurs de niveau 1.
Le FBI a ensuite créé une DLL Windows personnalisée (ou module Qakbot) [VirusTotal] qui a agi comme un outil de suppression et a été transmise aux appareils infectés à partir des serveurs de niveau 1 désormais piratés.
Sur la base d’une analyse du module FBI par SecureWorks, ce fichier DLL personnalisé a émis la commande QPCMD_BOT_SHUTDOWN au malware Qakbot exécuté sur les appareils infectés, ce qui entraîne l’arrêt du processus malveillant.
SecureWorks affirme avoir vu pour la première fois ce module personnalisé transféré sur les appareils infectés le 25 août vers 20h30 HE.
« Le 25 août à 00h27 UTC, les chercheurs de la CTU(TM) ont détecté le botnet Qakbot distribuant du shellcode aux appareils infectés », explique SecureWorks.
« Le shellcode décompresse un exécutable DLL (bibliothèque de liens dynamiques) personnalisé qui contient du code qui peut mettre fin proprement au processus Qakbot en cours d’exécution sur l’hôte. »
Le FBI affirme que cet outil de suppression de Qakbot a été autorisé par un juge avec une portée très limitée consistant uniquement à supprimer le malware des appareils infectés. De plus, comme le malware fonctionne uniquement à partir de la mémoire, l’outil de suppression n’a rien lu ni écrit sur le disque dur.
Pour le moment, le FBI n’est pas sûr du nombre total d’appareils qui ont été nettoyés de cette manière, mais comme le processus a commencé ce week-end, il s’attend à ce que d’autres appareils soient nettoyés à mesure qu’ils se reconnecteront à l’infrastructure Qakbot piratée.
Le FBI a également partagé une base de données contenant les informations d’identification volées par le malware Qakbot avec Have I Been Pwned et la police nationale néerlandaise.
Comme aucune notification ne sera affichée sur les appareils infectés lorsque le malware est supprimé, vous pouvez utiliser ces services pour voir si vos informations d’identification ont été volées, indiquant que vous avez peut-être été infecté à un moment donné par le malware Qakbot.
Ce n’est pas la première fois que le FBI utilise un mandat de saisie approuvé par le tribunal pour supprimer les logiciels malveillants des appareils infectés.
Le FBI a déjà reçu l’approbation du tribunal pour supprimer le logiciel malveillant de vol de données Russian Snake et le logiciel malveillant Emotet des appareils infectés, ainsi que les shells Web sur les serveurs Microsoft Exchange déployés dans les attaques ProxyLogon.