Microsoft, le FBI et Europol portent un coup dur au botnet Zeroaccess

12 décembre 2013 Eagle1

Microsoft, le FBI et Europol ont conjointement mis à mal le botnet ZeroAccess, un réseau de 1.2 millions de machines servant la cybercriminalité.

Derrière les 1,2 million d’IP infectées se cachaient en réalité 180.000 machines compromises et non 1,2 million comme cela avait pu être annoncé par exemple par des éditeurs de sécurité en quête de notoriété.

Qu’est ce qui s’est passé ?

C’est une opération sans doute sans précédent à laquelle se sont livrés Microsoft, le FBI, Europol, en collaboration avec de nombreuses autorités judiciaires dans le monde.

La cible, ZeroAccess, l’un des plus gros réseaux, de botnets, ou « PC zombies » au monde, de deux millions de machines.
Elles étaient infectées d’un logiciel malveillant qui aurait au total fait perdre 2,7 millions de dollars aux annonceurs en ligne chaque mois, fait savoir Europol.

Ce réseau avait pris une telle ampleur que Microsoft s’était résolu à déposer plainte pour obtenir le droit d’agir contre lui, en s’efforçant de le démanteler définitivement. Jeudi soir, la firme a donc bloqué les trafics Internet entrants et sortants des machines concernées aux États-Unis.

[quote]Europol ajoute sur ce point qu’il a été procédé au blocage de 18 adresses IP basées en Europe et de 49 noms de domaine associés à ZeroAccess.[/quote]

Ce n’est d’ailleurs pas la première fois que la firme de Redmond mène à bien ce genre d’opérations.
Elle avait par exemple fait de même en juin 2013, lorsqu’elle s’était attaquée au botnet Citadel, qui concernait à l’époque quelques 1.400 machines dans le monde.

ZeroAcces visait principalement a détourner les clics publicitaires sur Internet.
Ce qui aurait fait perdre au total 2,7 millions de dollars aux annonceurs en ligne, chaque mois.
ZeroAccess détournait les pages de résultats de tous les principaux navigateurs internet (Bing, Google, Yahoo!, etc…).
Les internautes étaient alors redirigés vers de fausses pages de résultat.

Pour autant, la lutte contre le botnet n’est pas encore achevée.
Car ZeroAccess est pour le moins résistant, basé sur transferts de données en Peer to Peer, ce qui permettait aux malfaiteurs de contrôler les programmes malveillants à partir de centaines de machines différentes, explique Europol dans son communiqué.

ZeroAccess bouge encore

La plainte en question, rédigée en anglais et en russe, a été lancée contre huit inconnus, mais l’alphabet cyrillique offre un bel indice sur la nationalité probable de plusieurs des opérateurs.

C’est une première victoire pour la nouvelle Digital Crime Unit du géant de Redmond, inaugurée il y a quelques semaines.
Mais ce n’est pas la première fois que l’éditeur s’allie avec les autorités pour faire tomber un botnet.

Il y a quelques mois, les réseaux de PC-zombies « Citadels » étaient quasiment tous démantelés.
En 2011, Rustock, un des principaux émetteurs de spam à l’époque, subissait le même sort.

Reste que si ZeroAccess s’est pris une claque, il n’est probablement pas mort.

Microsoft et ses partenaires n’imaginent pas se débarrasser complètement de ZeroAccess, à cause de sa complexité indique la firme dans un communiqué.

Son architecture P2P « tous les PC infectés sont reliés entre eux » le rend en effet particulièrement résistant.
Les cybercriminels qui le dirigent peuvent en effet utiliser n’importe quel ordinateur comme centre de contrôle… et en changer si celui-ci est nettoyé !

A noter que la taille des botnets fait aussi encore trop souvent l’objet de fantasmes et qu’un botnet n’est généralement pas unique mais composé d’une multitude de plus petits botnets constitués à partir d’une même souche virale.

L’opération a tout de même très sérieusement affaibli ZeroAccess, même si ses instigateurs n’ont pas encore pu être appréhendés.

secunews.org : Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ne deviennent un élément d’un réseau de zombie ( botnet )