Le ministère américain de la Justice a annoncé aujourd’hui que le Federal Bureau of Investigation a mis hors service le réseau et l’infrastructure d’un service proxy de botnet appelé IPStorm.
IPStorm a permis aux cybercriminels d’exécuter du trafic malveillant de manière anonyme via des appareils Windows, Linux, Mac et Android partout dans le monde.
Dans le cadre de cette affaire, Sergei Makinin, un ressortissant russo-moldave, a plaidé coupable à trois chefs d’accusation liés à la fraude informatique et encourt désormais une peine maximale de 10 ans de prison.
L’annonce du DoJ décrit IPStorm comme un botnet proxy permettant aux cybercriminels, aux escrocs et autres d’échapper aux blocages et de rester anonymes en canalisant leur trafic via des milliers d’appareils compromis dans les maisons ou les bureaux des gens.
En plus de devenir, sans le savoir et involontairement, des facilitateurs de la cybercriminalité, les victimes d’IPStorm ont subi les conséquences du détournement de la bande passante de leur réseau par des acteurs malveillants et risquaient de recevoir des charges utiles plus dangereuses à tout moment.
Le service de proxy de Makinin était proposé sur les sites Web « proxx.io » et « proxx.net », où il était annoncé qu’il fournissait plus de 23 000 proxys anonymes dans le monde.
« Selon des documents judiciaires, entre juin 2019 et décembre 2022 au moins, Makinin a développé et déployé des logiciels malveillants pour pirater des milliers d’appareils connectés à Internet dans le monde, y compris à Porto Rico », peut-on lire dans l’annonce du ministère de la Justice américain.
« L’objectif principal du botnet était de transformer les appareils infectés en proxys dans le cadre d’un programme à but lucratif, qui rendait l’accès à ces proxys disponible via les sites Web de Makinin, proxx.io et proxx.net » – Département américain de la Justice
Makinin a admis avoir réalisé un bénéfice d’au moins 550 000 dollars grâce aux services proxy qu’il a vendus à d’autres et a accepté de renoncer aux portefeuilles de crypto-monnaie contenant les produits du crime.
Les opérations des forces de l’ordre visant à démanteler le botnet IPStorm ne se sont pas étendues aux ordinateurs des victimes.
En évolution depuis 2019
Les détails techniques sur le fonctionnement d’IPStorm et de ses variantes sont disponibles dans un rapport d’Intezer, qui a aidé le FBI avec des informations sur l’opération de cybercriminalité, initialement publié en octobre 2020.
IPStorm a commencé comme un malware ciblant Windows qui a ensuite évolué pour cibler les architectures Linux, y compris les appareils IoT basés sur Android.
Ses auteurs ont suivi une approche de conception modulaire avec différents packages Golang offrant un ensemble de fonctionnalités dédiées, le gardant simple et polyvalent sur une gamme de systèmes cibles.
Le logiciel malveillant a utilisé le réseau peer-to-peer InterPlanetary File System (IPFS) pour masquer ses activités malveillantes et résister aux tentatives de retrait de l’infrastructure. Il comportait le forçage brutal SSH pour la propagation aux systèmes adjacents, l’évasion antivirus et les mécanismes de persistance.
Grâce à cette infrastructure, les cybercriminels pourraient utiliser des milliers de systèmes pour acheminer le trafic et ainsi masquer leurs traces. Le prix de l’accès au réseau IPStorm pourrait atteindre des centaines de dollars par mois.
Plusieurs organismes chargés de l’application des lois ont été impliqués dans l’enquête, notamment le Groupe de cyberattaques de la Police nationale espagnole, la Division du crime organisé international de la Police nationale dominicaine et le ministère de l’Intérieur et la Direction de la police et de l’immigration.