R.I.P. Botnet Win32/Rustock, 2006-2011

Microsoft assomme le botnet Rustok plutôt mastoc

En supervisant "l'opération b107", Microsoft est parvenu à faire tomber un réseau de PC zombies qui était capable d'envoyer des milliards de spams par jour.

Le botnet avait transformé 1 million de PC en esclaves des spammeurs à l'insu de leur propriétaire.

Les spammeurs viennent de se prendre une grande claque. Microsoft a en effet annoncé voici quelques heures avoir porté un coup fatal au botnet (1) Rustock : un réseau de PC zombies déjà vieux de plus de quatre ans et qui était encore il y a peu, selon Symantec, la principale source de spam au monde, avec 47,5 % du total de pourriels et plusieurs millions de courriers indésirables envoyés chaque jour.

agrandir la photo

D’après les chiffres de Microsoft, ce sont plus de 1 million de PC contaminés par le malware Rustock qui ont ainsi été « libérés » des griffes des cyber-criminels par cette opération d’importance, conjointement menée par plusieurs divisions de Microsoft, avec l’appui des partenaires de l’industrie, d’universités et des autorités. « L’opération b107 » rappelle d’ailleurs beaucoup une autre opération du même type, b49, menée l’année dernière contre le botnet Waledac.

« Nous avons utilisé une conjonction de mesures techniques et légales afin de rompre la connexion entre la structure de commande et de contrôle du botnet et l’ensemble des machines infectées par le malware, avec pour objectif de stopper la totalité de ce botnet. », commente Bernard Ourghanlian, directeur technique et sécurité de Microsoft France.

Pour faire tomber Rustock, il a fallu agir de façon coordonnée, afin de couper physiquement et simultanément des serveurs situés dans plusieurs Etats américains et pour certains à l’étranger. L’opération a notamment consisté, avec l’appui des forces fédérales américaines, à saisir des dizaines de disques durs chez cinq hébergeurs situés à Kansas City, à Scranton, à Denver, à Dallas, à Seattle, Chicago et à Colombus. Mais également à collaborer avec la police néerlandaise et le CERT chinois.

« Nous avons fait le nécessaire pour que l’on bloque l’enregistrement de domaines en Chine que le code du malware prévoyait d’utiliser dans le futur pour des opérations de contrôle », indique M. Ourghanlian. Et, à la différence de Waledac, dont le code pointait vers des noms de domaines - qui avaient donc pu être bloqués avec le concours de l’Icann -, Rustock comprenait dans son code 106 adresses IP, plus complexes à neutraliser, pour communiquer avec ceux qui le contrôlaient. D’où cette saisie chez les hébergeurs à qui elles étaient attribuées.

Une plainte pour violation du droit des marques

Cette saisie est le résultat d’une plainte déposée au mois de février par Microsoft contre les opérateurs de ce botnet. « Nous avons porté plainte à différents titres, notamment pour violation du droit des marques, puisque les opérateurs utilisaient les marques Hotmail, Windows ou Microsoft dans leurs courriers indésirables », indique M. Ourghanlian. Les disques durs récupérés sont en cours d’analyse. On espère notamment y trouver des logs, qui pourraient pointer vers les machines infectées. « Il serait alors possible de contacter les FAI afin qu’ils préviennent leurs abonnés et que ces derniers [les] nettoient. »

Grâce à cette opération, Microsoft en est certain, Rustock est hors d’état de nuire, même s’il demeure actif sur les machines : son code a été entièrement désassemblé et toutes les adresses IP vers lesquelles il pointait lui sont désormais interdites. Les contrôleurs du botnet, eux, courent toujours. « Vu la taille de Rustock, les gens qui le contrôlaient sont sûrement expérimentés et bien cachés. Il sera peut-être difficile de les retrouver. Mais au moins, nous avons eu la possibilité de démanteler l’un des plus importants botnets de la planète. C’est déjà ça de gagné pour les internautes », conclut M. Ourghanlian.

le nombre d’envoi de spams a appréciablement reculé dans le monde, particulièrement dans des pays comme la Turquie (-87%), le Vietnam (-22%) et le Brésil (-47%).

En revanche, la France fait mauvaise figure dans ce classement. Selon Cisco, certains pays ont connu une très forte poussée de son volume de spams : +115% (sic). Elle prend ainsi le pas sur d’autres pays européens, comme l’Allemagne, qui affiche un score « honorable » de +10%, ou le Royaume-Uni (+99%).

Ainsi, pour accroître le nombre de spams envoyés, les cyber-criminels n’ont pas hésité à solliciter la bonne qualité des réseaux ADSL européens pour propager rapidement des « pourriels » via des botnets.

Nota: Une opération similaire ,nommée "B49" en 2010 ,par Microsoft pour contrer Waledac.

Le réseau Rustock était considéré comme l'un des plus gros au monde, avec la capacité d'envoyer jusqu'à 30 milliards de pourriels par jour - la plupart pour proposer à la vente des versions contrefaites de médicaments comme le Viagra, prescrit contre les troubles de l'érection, ou pour adresser de fausses annonces de loterie.

Microsoft a travaillé durant plusieurs mois avec le fabricant du Viagra, le laboratoire américain Pfizer et la société de sécurité informatique FireEye pour démanteler ce réseau.

L'enquête a culminé avec l'intervention des autorités, qui ont pu prendre le contrôle de serveurs informatiques localisés dans l'État de Washington : mercredi, la connexion entre ces serveurs et les ordinateurs infectés a été rompue.

(1) Un botnet est un réseau de PC « zombies » infectés par un malware qui permet aux cyber-criminels qui les commandent de les utiliser pour diverses tâches à l’insu de leurs utilisateurs, notamment l’envoi massif de courriers indésirables.

REF.: