Linux/Moose : plongée dans un botnet de routeurs et le « marché de l’ego » sur Instagram

Infecter des routeurs pour créer de faux comptes sur Instagram et revendre les abonnements. Tout en restant extrêmement discrets. C'est tout l'objectif du botnet Linux/Moose, qui redouble d'ingéniosité pour échapper aux radars et qu'une équipe montréalaise a étudié de près, de sa technique au marché qu'il alimente.

À quoi peut ressembler le « crime parfait » sur Internet ? Pour les chercheurs québécois Masarah Paquet-Clouston et Olivier Bilodeau de GoSecure, le botnet Linux/Moose est ce qui s'en rapproche le plus. Après six mois d'étude début 2016, ils ont présenté leurs résultats à la conférence Botconf, organisée le mois dernier à Lyon. Linux/Moose est un animal particulier, qui infecte des objets connectés peu sécurisés et les utilise pour générer de faux « J'aime » et abonnements sur les réseaux sociaux, revendus à des personnes ou entreprises en mal de notoriété.

Pour l'équipe, il s'agit d'un crime sans victime directe, qui se donne l'apparence d'une activité légitime. D'un côté, le réseau d'objets zombies fait tout pour être discret, quitte à sacrifier sa stabilité. De l'autre, les faux comptes sont conçus pour être les plus humains possibles, et sont vendus via des canaux imitant des boutiques en ligne classiques. Ces opérations peinent d'ailleurs à attirer l'attention des autorités, regrettent les chercheurs, avec lesquels nous avons parlé.

L'intérêt de leur étude est qu'elle plonge à la fois dans les méandres techniques du réseau de zombies et dans sa finalité commerciale. Le botnet infecte des objets, chargés ensuite de créer de faux comptes sur des réseaux sociaux, qui servent à la revente de suivis et de « J'aime » sur des sites spécialisés. L'occasion de regarder de plus près qui sont les vendeurs et les clients, et d'évaluer l'efficacité des méthodes des robots pour passer inaperçus sur ces services.

Linux/Moose, un réseau souterrain difficile à pénétrer

Ce n'est pas la première rencontre entre Olivier Bilodeau et Linux/Moose. Il avait étudié le botnet début 2015, pour ESET, avec une couverture publique assez importante pour que le réseau soit mis en pause. La nouvelle version est arrivée à la fin de la même année, avec un logiciel remanié. L'étudier n'est pas mince affaire : l'outil n'infecte que certains matériels sous Linux avec processeur ARM, le trafic entre chaque appareil et le serveur de contrôle est chiffré, et la liste des serveurs pouvant piloter les objets infectés est limitée.

Pour s'infiltrer, l'équipe a mis en ligne des machines virtuelles ressemblant comme deux gouttes d'eau à des équipements vulnérables. Il s'agit d'objets connectés sous Linux avec BusyBox, une connexion possible via Telnet et des identifiants par défaut. Ce sont en majorité des routeurs, accompagnés d'appareils comme des enregistreurs TV. Une fois intégré au réseau, chaque bot tente d'en enrôler d'autres, en testant tous les identifiants possibles.

À ce stade, « le fait que le trafic soit chiffré nous a empêché de comprendre ce qui se passait. Nous savions qu'il venait de réseaux sociaux grâce au nom commun indiqué dans les certificats de sécurité et à quelques requêtes en texte clair » affirme Olivier Bilodeau. Le trafic de chaque bot vers ces services est transmis via un proxy, fondé sur SOCKS.

Pour déchiffrer les communications, l'équipe a d'abord tenté d'obtenir le trafic TLS en clair via sslstrip, ce qui a échoué. Après l'essai d'autres outils, une attaque de l'homme du milieu (MITM) a été privilégiée, via le logiciel mitmproxy. Les chercheurs se sont intercalés entre les bots et Internet via un faux certificat, ressemblant à celui d'un produit de sécurité. Une méthode qui génère tout de même des erreurs visibles, qui peuvent éveiller des soupçons.

« Nous nous sommes dits qu'Internet est une telle pagaille que les opérateurs du botnet devaient recevoir beaucoup d'erreurs TLS, donc qu'ils ont dû désactiver la vérification. Nous avons eu assez de chance pour que cela marche » déclare Bilodeau. Une astuce qui a permis aux chercheurs d'obtenir le trafic en clair, à partir d'une erreur humaine : celle d'accepter des appareils au certificat erroné.

Des bots taillés pour la discrétion

Linux/Moose se comporte donc jusqu'ici comme un botnet relativement classique. Il infecte des objets connectés avec des identifiants simples à deviner, puis s'étend d'appareil en appareil. Pourtant, les précautions prises pour ne pas éveiller les soupçons sont nombreuses.

Le malware n'est disponible que sur des machines à processeurs ARM, ce qui rend son analyse difficile. « Cela fait des années que j'étudie des échantillons sur des systèmes Linux embarqués. La plupart ont une version x86, à l'exception de Linux/Moose. Nous pensons qu'il s'agit d'éviter d'être détectés et de rendre plus compliquée la rétro-ingénierie » estime encore Olivier Bilodeau.

Autre mesure : Linux/Moose ne survit pas à un redémarrage. Pourquoi ? GoSecure a constaté que certaines mises à jour changeaient la gestion de la mémoire, ce qui induit que le malware faisait sûrement planter des routeurs. En restant incrusté avec un tel bogue, un routeur infecté redémarrerait donc en boucle, attirant l'attention. Mieux vaut donc le faire planter une fois et disparaître, pour en reprendre le contrôle par la suite. « Nous pensons qu'ils évitent soigneusement la persistance pour rester sous les radars » interprète Bilodeau.

Le logiciel s'adapte aussi aux découvertes des chercheurs. « Après notre article ESA [en 2015], les développeurs du botnet ont pris leur été et ont retiré des signes d'infection que nous avions publiés » affirme encore l'expert. Les adresses IP ne sont plus écrites en dur dans le code, mais demandent de monter un pot-de-miel pour trouver les serveurs. Il est maintenant impossible de scanner tout le réseau pour évaluer sa taille, le proxy de chaque bot n'étant accessible que depuis une liste blanche d'adresses IP. Le port du proxy a aussi changé, et l'enrôlement de nouveaux appareils est plus strict.

GoSecure ne sait pas combien d'administrateurs compte Linux/Moose, malgré quelques indices : sept adresses IP en liste blanche pour le contrôle des bots, sept interfaces web et au moins trois langues utilisées (anglais, espagnol et néerlandais).

Au cœur des faux profils sociaux et de la course à l'humanité

Au-delà de la technique, la prudence des responsables de « Moose » passe par leur mode opératoire. « Le botnet ne pratique pas de fraude publicitaire, de DDoS ou de spam, donc rien de manifestement illégal ou contre lequel Google lutte. Ils essaient de faire quelque chose dont tout le monde se fiche : du trafic de likes et d'abonnements sur Instagram » remarque Bilodeau. Sur l'ensemble des requêtes captées, 86 % étaient dirigées vers le réseau social dédié à la photo.

Ces faux abonnements et fausses interactions reposent sur des comptes factices, gérés par les bots. Il faut donc que chaque machine infectée crée de fausses adresses email (chez Gmail et Yahoo!) et autant de profils dont le réseau a besoin. Début 2016, créer un compte était déjà assez difficile, avec des suspensions immédiates de profil. 89 % de ces abonnements aboutissent tout de même. « Il est possible qu'Instagram détectait nos bots parce qu'ils étaient dans le cloud » et non chez un particulier, nous précise Masarah Paquet-Clouston. Depuis juin, le contrôle s'est encore renforcé, avec l'ajout d'un numéro de téléphone.

C'est surtout a posteriori qu'Instagram agit contre cette fraude. Ces bots passent la majorité de leur temps à agir comme des humains, en consultant leur fil d'actualité, leurs messages privés, une liste de personnes avec qui discuter, etc. Ces actions représentent 87 % des requêtes, et doivent éviter le couperet des filtres anti-spam au moment de suivre un nouveau compte. 

Crédits : GoSecure

Pourtant, pendant l'étude, 72 % des 1 732 faux comptes créés ont été suspendus. « Cela veut dire que l'acheteur obtiendra bien ses suivis, mais que dans six mois, il les perdra tous. Il faut donc revenir en acheter. Linux/Moose fait peu d'efforts pour masquer les faux comptes, avec de fausses photos, aucun abonné ou en étant suivi par des personnes sans description » détaille Masarah Paquet-Clouston.

Pour disposer de comptes pérennes, une solution serait de pirater des profils de vrais internautes. Mais cela irait à l'encontre de la philosophie du botnet, qui est de rester sous les radars. Mieux vaut donc des comptes éphémères, qui fournissent le service demandé... Pour un temps limité seulement.

Un « marché de l'ego » pour particuliers et (petites) entreprises

Les comptes suivis par les bots sont ceux d'entreprises sans vrai budget marketing (magasins, magazines, restaurants...), ceux de sociétés centrés sur une personne (par exemple contant la vie « luxueuse » d'un webdesigner) et, sans surprise, de personnes en mal de notoriété (chanteurs, vlogueurs...). Pour GoSecure, il s'agit d'un « marché de l'ego » où la popularité apparente se monnaie.

L'achat de suivis, de « J'aime » ou de commentaires passe par des places de marché qui ont pignon sur rue, accessibles depuis les moteurs de recherche. « Nous avons trouvé des centaines, voire milliers de sites qui vendent du factice sur des réseaux sociaux (Facebook, Google+, Twitter...) » affirme Paquet-Clouston. Si la création des faux comptes passe par un système caché, la vente se fait bien au grand jour. 

Sur l'ensemble des réseaux étudiés, Instagram est de très loin celui sur lequel obtenir 10 000 abonnés coûte le moins cher (112 dollars en moyenne), quand LinkedIn est le plus coûteux (plus de 700 dollars). Facebook, lui, se situe en milieu de tableau.

Pourquoi cet écart ? « Peut-être parce qu'il y a plus d'offre sur Instagram, avec plus de botnets et une création facile de comptes. L'authentification en deux étapes est arrivée il y a peu, comme la vérification des adresses email » nous détaille Paquet-Clouston. « Il y a aussi ce que LinkedIn représente. Cela peut donner des emplois. Avoir plus de 500 connexions sur LinkedIn est déjà beaucoup. On n'en a pas besoin de 25 000, donc chaque connexion coûte plus. »

Des réseaux semble-t-il très rentables

Selon les chercheurs, le marché est encore immature, avec de grandes variations de prix selon les vendeurs. 10 000 abonnés peuvent ainsi coûter deux dollars, bien loin de la moyenne à plus de 100. « Ils ne connaissent pas la valeur de leur service. Soit ils surfacturent, soit ils sous-facturent. Donc ils tâtonnent » explique l'équipe.

Selon ses calculs, chaque machine infectée rapporterait en moyenne 13,05 dollars par mois. Elle a pris le nombre de suivis moyen par les bots sous leur main (1 186 par mois), multiplié par le prix moyen pour 10 000 abonnés (112,67 dollars). « Si quelqu'un a 30 000 bots, il peut gagner 400 000 dollars par mois. C'est beaucoup. S'il ne monétise que la moitié des abonnements, il peut toujours gagner 200 000 dollars par mois » indiquent les chercheurs.

Il n'est pas sûr que tous les suivis soient monétisés, ni qu'une seule personne pilote le réseau, ni que tous les abonnements vendus par les fraudeurs proviennent d'un réseau zombie comme Linux/Moose. « Il y a trois possibilités [pour obtenir des faux comptes] : les vrais comptes piratés, les botnets et les fermes de clics. Les deux derniers sont difficiles à différencier. J'aurais tendance à dire que l'utilisation d'un botnet est sûrement beaucoup plus efficace que le reste » nous explique Masarah Paquet-Clouston.

Un service client étonnamment réactif

Face aux clients, les vendeurs de faux abonnés tentent avant tout de se donner une apparence de normalité, jusqu'au service client. Pour le prouver, les chercheurs ont monté un faux compte Instagram de photographe, pour lequel ils ont acheté quelques milliers d'abonnés. Fournis en un week-end, ils ont disparu quelques jours plus tard. L'occasion de réclamer leur remplacement au vendeur. 

« Je lui ai demandé de me fournir de nouveaux abonnés, en prétextant un concours photo. Il m'a très rapidement répondu qu'il en ajoutait » affirme la spécialiste. Le compteur de followers a rapidement regrimpé, pour tomber une nouvelle fois quelques jours plus tard. « À la deuxième demande, il m'a répondu qu'il en ajoutait d'autres, mais que les abonnés n'étaient pas éternels » poursuit-elle. Il a finalement arrêté de répondre à la troisième réclamation.

« Ils ont un très bon service client, au coût minime. Si vous allez sur ces sites, vous verrez qu'il y a beaucoup de chat en ligne direct [pour rassurer]. Il y a tout de même une limite, dans le sens où ils vont accepter de faire un geste au début, mais vont arrêter de vous parler quand vous en demandez trop » nous indique encore Masarah Paquet-Clouston. Par ailleurs, « les sites de vente expliquent l'importance d'avoir des abonnés, des réactions... Il faut que le service apparaisse légitime au consommateur, qui ne sait pas qu'il encourage la criminalité. »

In fine, « cela ressemble au crime parfait sur Internet, où des gens exploitent un botnet sans attirer l'attention. Linux/Moose est si parfait qu'en six mois d'étude, nous n'avons pas réussi à éveiller l'intérêt des forces de l'ordre ou des hébergeurs » regrette l'équipe québécoise. Elle souhaite tout de même collaborer avec les autorités et des acteurs privés, notamment pour débusquer les serveurs de contrôle. « Nous voulons aussi publier deux articles plus scientifiques, en plaçant l'idée de l'adaptation criminelle puis du marché de la fraude aux réseaux sociaux » nous affirme enfin Paquet-Clouston.