Microsoft a annoncé récemment avoir mené à bien une opération coordonnée contre un important botnet, créé via le malware Dorkbot. Ce n'est pas le premier réseau que le groupe démantèle - avec le concours des forces de l'ordre - mais Dorkbot était particulièrement important, avec plus d’un million de PC infectés.
Un botnet est un réseau de machines zombies. Il s’agit d’un maillage constitué de PC qui ont été infectés par un malware bien particulier qui, en plus de voler des informations, peut être piloté à distance. Plus il y a de machines infectées par le même malware, plus le botnet grandit et plus le pirate qui le contrôle gagne en puissance. Car l’aspect spécifique d’un botnet est qu’une seule personne peut faire effectuer à des centaines de milliers de machines une action particulière, comme générer du spam ou déclencher des attaques distribuées par déni de service (DDoS).
La lutte contre les botnets demande des efforts coordonnés, comme l’indiquait récemment le spécialiste Éric Freyssinet dans nos colonnes. De nombreux aspects doivent être pris en compte, outre le simple fait d’intervenir pour couper les liens entre les machines et le serveur utilisé pour les contrôler. Au-delà de la technique, il faut prendre en compte l'intérêt financier : il est possible de payer pour générer du spam ou pour s’en prendre à une cible particulière.
100 000 nouvelles machines infectées par mois
Pour Dorkbot, Microsoft s’est associée à plusieurs partenaires : la société de sécurité ESET (éditrice de l’antivirus NOD32), le Département américain de la sécurité intérieure, Europol, le FBI, Interpol ou encore le Computer Emergency Response Team (CERT) de Pologne. Les techniques utilisées pour démanteler ce puissant botnet, qui comptait plus d’un million de machines, n’ont pas été révélées. Pas question d'indiquer publiquement les moyens et outils mis en œuvre. Mais le rythme de croissance du botnet Dorkbot était devenu inquiétant, avec 100 000 nouvelles machines contaminées environ par mois sur les six derniers mois.
Pour autant, ce botnet n’était pas nouveau, les premières traces de son existence remontant à 2011. L’opération pour s’y attaquer a nécessité une coordination internationale qui a visiblement mis un certain temps à se mettre en place. Le Microsoft Malware Protection Center avait en effet publié dès 2012 une analyse de Dorkbot en deux parties, dans lesquelles l’entreprise présentait les dangers d’un réseau qui grandissait.
Une prédilection pour les vieux PC sans protection
L’éditeur indique que Windows Defender et l’ensemble des antivirus sont capables de détecter Dorkbot depuis un moment. Les machines infectées sont donc celles qui ne sont pas protégées par une telle barrière et qui ont un Windows trop ancien pour inclure l’antivirus maison. On pense tout de suite aux dizaines de millions de PC encore sous Windows XP, alors même que le support technique du vieux système s’est terminé le 8 avril de l’an dernier. Nous avions alors souligné les dangers inhérents de laisser en fonctionnement des machines où les failles de sécurité ne pouvaient que s’accumuler avec le temps.
De fait, la répartition des PC contaminés sur les six derniers mois n’est pas étonnant. 21 % des infections ont eu lieu en Inde, 17 % en Indonésie, 16 % en Russie, 14 % en Argentine. La Chine, elle, comptait seulement pour 4 % des contaminations.
De nombreux identifiants dérobés
Microsoft explique dans tous les cas qu’il était devenu urgent de se débarrasser d’un malware que son concepteur vendait littéralement comme un « kit criminel ». Les méthodes de propagation étaient par ailleurs nombreuses : clés USB, messageries instantanées, réseaux sociaux, téléchargements depuis des sites malveillants ou encore emails. Comme souvent dans ce genre de cas, le malware était contrôlé à distance par de simples commandes IRC.
Malin, Dorkbot disposait de plusieurs techniques pour éviter d’être supprimé. De nombreux sites dévolus à la sécurité étaient donc bloqués et il avait même certaines capacités lui permettant d’échapper aux sandbox, une capacité de plus en plus courante parmi les malwares du genre. Une fois en place, il pouvait intercepter nombre de requêtes sur le web et récoltait en priorité les identifiants des comptes Google, AOL, eBay, Facebook, Godaddy, Mediafire, Netflix, Twitter ou encore Yahoo.
La coordination, décidément l'élément clé
Microsoft affiche finalement un discours qui ressemble largement à celui d’Éric Freyssinet en amont de la conférence Botconf 2015 : les efforts doivent être concertés pour détruire les botnets de manière efficace et durable. La firme indique par exemple que les éditeurs de solutions de sécurité doivent s’échanger leur savoir-faire, que les institutions financières doivent mieux identifier les flux frauduleux pour tarir les flux d’argent, et que les forces de l’ordre allient leurs efforts pour trouver finalement les auteurs.
Notez enfin que si Dorkbot et son million de machines infectées est une prise importante, il ne s'agit pas du plus gros botnet auquel se soit attaqué l'entreprise. En décembre 2013, aidée par le FBI et Europol, elle avait ainsi coupé l'accès à un botnet de deux millions de machines nommé ZeroAccess.
