Le volume mondial de courriers indésirables envoyés dans le monde entier a chuté massivement aujourd’hui suite à ce qui semble être un retrait coordonné du Rustock botnet, l’une des machines génératrices de spam les plus actives au monde.
Pendant des années, Rustock a été le fournisseur le plus prolifique de spam – principalement des messages indésirables vantant les pharmacies en ligne et les pilules d’amélioration pour hommes. Mais tard mercredi matin, heure de l’Est, des dizaines de serveurs Internet utilisés pour coordonner ces campagnes de spam ont cessé de fonctionner, apparemment presque simultanément.
Une telle action suggère que les activistes anti-spam ont réussi à exécuter peut-être le plus grand démantèlement de botnet de l’histoire d’Internet. Données de spam compilées par le Liste de blocage de spam compositel’entité qui surveille les volumes mondiaux de courrier indésirable pour l’équipement anti-spam Spamhaus.org, montre que vers 14h45 GMT (10h45 EDT), le spam envoyé via le botnet Rustock a pratiquement disparu. Le CBL estime qu’au moins 815 000 ordinateurs Windows sont actuellement infectés par Rustock, bien que ce nombre soit plus que probablement une estimation prudente.
« C’est une baisse vraiment spectaculaire », a déclaré un militant anti-spam d’Ottawa, au Canada, qui a demandé à ne pas être nommé parce qu’il n’avait pas l’autorisation de son employeur de parler publiquement du pic d’activité de spam. « Normalement, Rustock envoie entre un et deux mille e-mails par seconde. Aujourd’hui, nous avons vu des systèmes infectés plonger brutalement dans l’envoi d’environ un à deux e-mails par seconde.
Joe Stewartdirecteur de la recherche sur les logiciels malveillants chez Atlanta Dell Secure Worksa déclaré qu’aucun des 26 réseaux de commandement et de contrôle de Rustock qu’il surveillait ne répondait mercredi après-midi.
« Cela ressemble à une campagne généralisée pour avoir soit ces [Internet addresses] null-routed ou les contacts d’abus chez divers FAI les ont fermés de manière uniforme », a déclaré Stewart. « Il me semble que quelqu’un est allé suivre méthodiquement ces [addresses] et les a fait sortir d’une manière ou d’une autre.
Mise à jour, 18 mars, 10 h 04 HE : Comme de nombreux lecteurs l’ont souligné, le Wall Street Journal rapporte que le retrait de Rustock a été conçu par Microsoft, qui a utilisé la procédure légale pour fermer les réseaux de contrôle du botnet chez divers hébergeurs basés aux États-Unis. Pour en savoir plus sur la façon dont Microsoft a fait cela, consultez ma dernière histoire, Homegrown: Rustock Botnet Fed by US Firms.
Histoire originale :
Dans un rapport que SecureWorks a publié le mois dernier, la société a déclaré que le ou les auteurs de Rustock ont été les pionniers de diverses techniques pour échapper à la détection sur les machines infectées et pour contrecarrer les chercheurs en sécurité qui espèrent percer les secrets de ses opérations quotidiennes. Par exemple, la société note que de nombreux PC infectés par Rustock ont été configurés pour attendre jusqu’à cinq jours avant de spammer.
De ce rapport :
« Le botnet spam le plus prolifique qui existe aujourd’hui est Rustock. Au cours des dernières années, Rustock était parfois dépassé pour la première place par d’autres botnets, mais ces jours-ci, il s’est éloigné du peloton avec une solide avance. Les raisons en sont dues au développement incessant par l’auteur de tactiques furtives qui ont été ajoutées à la base de code Rustock au fil des ans. Avant tout, Rustock a été conçu comme un rootkit, enfouissant ses fichiers et son activité au plus profond du système d’exploitation Windows, où il peut se cacher des produits anti-malware populaires et rester plus longtemps sur un système infecté.
Il est peut-être encore trop tôt pour célébrer le démantèlement du plus grand botnet de spam au monde. D’une part, les PJ qui étaient infectés par Rustock avant cette action restent infectés, seulement ils sont maintenant quelque peu perdus, comme des moutons sans berger. Lors des précédents démontages, comme ceux exécutés contre le botnet Srizbi, les botmasters ont pu reprendre le contrôle de leurs troupeaux de PC infectés à l’aide d’un algorithme complexe intégré au logiciel malveillant qui génère un nom de domaine de site Web aléatoire mais unique que les bots seraient chargés de rechercher de nouvelles instructions et mises à jour logicielles de ses auteurs . Avec un tel système, le botmaster n’a qu’à enregistrer l’un de ces noms de sites Web pour reprendre l’envoi de mises à jour et le contrôle du troupeau d’ordinateurs infectés.
Stewart a déclaré que celui qui est responsable de ce retrait a clairement fait ses devoirs et que les domaines de sauvegarde codés en dur dans Rustock semblent également avoir été mis hors ligne. Mais, a-t-il dit, Rustock semble également avoir un mécanisme pour générer et rechercher de manière aléatoire de nouveaux noms de sites Web qui pourraient être enregistrés par le botmaster pour reprendre le contrôle du pool de PC encore infectés. Stewart a déclaré que les machines infectées par Rustock contactaient régulièrement une variété de sites Web populaires, tels que Wikipédia, MozillaComment, Slashdot, MSN et d’autres, et qu’il est possible que Rustock soit configuré pour utiliser les gros titres ou d’autres informations d’actualité de ces sites comme graine aléatoire pour générer de nouveaux domaines de commande et de contrôle.
Plus d’informations sur cette histoire en développement rapide à mesure que les données deviennent disponibles. Si vous disposez de données de base qui appuient ou réfutent les conclusions de cet article de blog, veuillez publier les informations ici ou envoyez-moi une note en privé.
Mise à jour, 17 mars, 13h47, ET : Ajoutez le graphique des laboratoires de sécurité M86, qui dit sur son blog qu’il a également vu un spam Rustock se tarir et que les contrôleurs du botnet ne répondent pas.