Microsoft s’est associé au FBI pour mener une importante campagne anti-botnet dirigée contre Citadel. Pour l’éditeur, il s’agit de la septième opération de ce type, mais le partenariat entre une agence fédérale et une entreprise est une première dans ce contexte.
Microsoft a souhaité s’attaquer au malware Citadel. Ce dernier a créé des centaines de botnets, c’est-à-dire des parcs de machines zombies, attendant d’exécuter des ordres comme générer du spam, bombarder de requêtes et ainsi de suite. Citadel est accusé d’avoir notamment provoqué des pertes chiffrées à 500 millions de dollars, à cause de la récupération des frappes au clavier chez cinq millions de personnes (réparties dans 90 pays), permettant notamment un accès aux comptes bancaires. Les institutions bancaires et/ou financières touchées incluaient d’ailleurs American Express, Bank of America, Citigroup, Credit Suisse, Paypal, HSBC, JPMorgan Chase, Royal Bank of Canada ou encore Wells Fargo.
L’opération, nommée b54, a mis plusieurs mois à se monter. Il y a quelques jours, des employés de Microsoft sont intervenus dans deux centres de données, au New Jersey et en Pennsylvanie, escortés par des Marshals des États-Unis. Ils y ont saisi des serveurs et récupéré les données qui y étaient hébergées. Les preuves trouvées ont été transmises au FBI ainsi qu’aux différentes CERT (Computer Emergency Response Teams). Un vaste travail de coopération qui impliquait également les Financial Services, l’Information Sharing and Analysis Center, l’Electronic Payments Association ou encore l’American Bankers Association.
Les machines saisies ont permis la destruction de 1462 botnets Citadel. Pour autant, Microsoft estime que ce n’est sans doute pas terminé : « Nous pensons que cette action perturbera de manière significative le fonctionnement de Citadel, en aidant rapidement les victimes à se libérer de la menace et en rendant plus risqué et coûteux pour les cybercriminels de continuer cette activité. Cependant, nous ne pensons pas avoir démantelé tous les botnets utilisant le malware Citadel dans le monde ».
Et pour cause : derrière Citadel se tient une véritable stratégie et un cerveau. Le malware lui-même a été disséminé principalement à travers des copies frelatées de Windows XP. Un peu plus de 80 personnes au total sont ainsi recherchées pour être les administrateurs des botnets. Plus particulièrement, le FBI cherche activement un développeur, nommé « Aquabox », qui serait le créateur de Citadel et qui résiderait en Europe de l’Est.
