Le botnet Bamital démantelé par une opération conjointe Microsoft/Symantec

Microsoft et Symantec ont annoncé avoir démantelé un botnet nommé Bamital. L’opération menée conjointement a concerné notamment la déconnexion de deux serveurs responsables de la redirection de millions de clics vers des réseaux d’annonceurs publicitaires parallèles.

Un malware qui changeait continuellement de forme

Dans un billet explicatif sur l’un des blogs de Microsoft, on apprend que la firme, aidée de Symantec, a pu mettre à bas un botnet d’un genre un peu particulier. Habituellement en effet, ces structures de plusieurs dizaines ou centaines de machines (voire de millions) sont les « esclaves zombies » d’une entité directrice. Pour la ou les personnes aux commandes d’un tel maillage de machines, un seul bouton permet d’exploiter la puissance disponible pour générer du spam ou déclencher des attaques par déni de service (DDoS) contre des serveurs.

Le malware Bamital a cependant évolué au fil du temps, changeant radicalement autant de méthode que de finalité d’exploitation. C’est d’ailleurs ce qui l’aurait rendu si difficile à détecter si l’on en croit le responsable juridique de Microsoft, Richard Boscovich : « Le malware se transformait de long en large, il a donc été difficile d’identifier les cibles ». Il a donc fallu attendre une fenêtre pour avoir l’opportunité de découvrir le pot aux roses.

De l'injection HTML à la simple redirection 

Les deux sociétés ont dû attendre plus exactement que les mutations s’arrêtent. La surveillance de Bamital datait en effet de plus de trois ans. Mais au cours de cette période, les attributs ont largement été modifiés. Ainsi, dans ses premières versions, le vecteur d’attaque du malware était le navigateur web de l’utilisateur. Une fois le malware en place, des iframes étaient systématiquement injectées dans toutes les pages web visitées, ce qui permettait de charger le contenu voulu par les auteurs.

Ces injections HTML ont été remplacées dans les dernières variantes du malware par un mécanisme plus simple, plus direct et potentiellement plus lucratif. Via n’importe quel clic en effet sur une page de recherche, l’utilisateur était renvoyé sur les serveurs contrôlés par Bamital. De là, des redirections HTML permettaient d’orienter l’utilisateur vers des réseaux parallèles de publicités.

Deux serveurs repérés dans des centres de données

Et c’est précisément parce que le malware a cessé d’évoluer et est resté sous cette forme que Microsoft et Symantec ont pu intervenir. Ils ont ainsi pu repérer les fameux serveurs C&C (Command & Control) et ont obtenu un mandat délivré par une cour d’Alexandria (Virginie, États-Unis). L’un des deux serveurs faisait partie d’un centre de données appartenant à la société ISPrime (New Jersey) et a été saisi. L’autre appartenait à la société LeaseWeb et était également situé dans un centre de données. Bien que LeaseWeb ait gardé le serveur, une copie intégrale des données stockées a été transmise à Microsoft et Symantec.

Au plus fort de son règne, Bamital permettait de récoler via ces deux serveurs jusqu’à trois millions de clics par jour. Vikram Thakur, l’un des principaux responsables de la sécurité chez Symantec, indique que même avec une estimation très prudente de 0,1 % de taux de transformation pour les publicités, le réseau était capable de générer un million de dollars par an. Il indique par ailleurs que l’estimation pourrait être finalement double ou triple.

La légalité des réseaux publicitaires parallèles en question

L’une des conséquences intéressantes est que les deux firmes savent désormais précisément comment les victimes étaient attaquées. Cela a permis à Microsoft de mettre en place une redirection pour se substituer aux anciens réseaux publicitaires. Elle envoie les utilisateurs vers une page pour les informer du problème et leur proposer des outils gratuits pour désinfecter leurs machines. L’éditeur note par ailleurs que la présence de Bamital s’explique dans la grande majorité des cas par des systèmes et navigateurs qui n’ont pas été mis à jour, laissant des brèches ouvertes aux exploitations (ce que faisait précisément Bamital).

Il reste maintenant à examiner les données, car plusieurs points ont encore besoin d’éclaircissement. C’est le cas notamment des publicités elles-mêmes, car ni Microsoft ni Symantec ne peuvent encore dire la vraie nature de ces  réseaux parallèles (vraies publicités pour des faux produits, médicaments interdits, etc.).