Satori, le botnet qui transforme vos objets connectés en zombies

Depuis le mois de décembre, les experts en cybersécurité regardent avec inquiétude grossir à toute vitesse un botnet baptisé Satori. Ce dernier s'ajuste en permanence aux contre-mesures, et a la particularité de se loger dans tout objet mal protégé et connecté à Internet.

Parmi les cibles favorites de Satori, les thermostats, les TV connectées, les systèmes d'infotainment dans les voitures, mais surtout les routeurs. Une fois massif, le botnet pourrait servir à des attaques en déni de service (DDoS).

Déjà 40.000 zombies

En japonais, son nom signifie illumination, compréhension, éveil. Une notion d'une haute valeur philosophique, bien loin des objectifs et des méthodes du malware baptisé Satori. Repéré en décembre dernier, ce code malicieux se loge dans toutes sortes d'objets connectés au Net et les asservit, tels des zombies, pour constituer un puissant botnet, une armée de machines à la main de son ou ses maîtres.

Satori n'est pas encore très gros : il aurait sous sa coupe environ 40.000 appareils, mais il grandit vite. Les experts observent avec inquiétude la discipline de son ou ses auteurs, qui modifient régulièrement leur tactique d'infection. Le moment venu, Satori pourrait servir à expédier des millions de spams, ou noyer sous des requêtes simultanées venant de chaque objet infecté les serveurs d'une compagnie, d'un hébergeur ou d'une institution.

Le digne héritier de Mirai

Des pans entiers du code source de Satori sont identiques à celui de Mirai, un botnet qui paralysa en 2016 plusieurs structures critiques du web en Amérique du Nord. L'attaque de Mirai fit tomber notamment Twitter, les sites d'Airbnb et du New York Times. Au faîte de sa gloire, Mirai enrôlait des centaines de milliers de routeurs, de webcam, et de toutes sortes d'objets connectés corrompus.

Les trois auteurs de Mirai ont été arrêtés mi-décembre par le FBI, mais leur créature a ouvert la voie à d'autres. Pour se protéger de Satori, plusieurs mesures s'imposent : changer tout d'abord les mots de passe par défaut de vos objets connectés, et les mettre à jour si l'éditeur vous le propose. Si votre bande passante baisse, vous pouvez demander une vérification à votre FAI. Satori a la particularité de se propager rapidement à tous les objets d'un même réseau, notamment domestique.

• Le maître d'un puissant botnet identifié et arrêté au Bélarus
• Botnet : près d'un million de machines infectées via de fausses pubs Google
•  
• REF.:

Les différentes façons dont les Hackers peuvent monétiser les ordinateurs piratés

La valeur Scrap d'un PC piraté, revisité:Il y a quelques années, lorsque j'étais journaliste au Washington Post, j'ai dressé un tableau répertoriant les différentes façons dont les malfaiteurs peuvent monétiser les ordinateurs piratés. Le projet a été conçu pour expliquer simplement et visuellement au genre d'utilisateur d'ordinateur qui ne peut pas commencer à comprendre pourquoi les méchants voudraient pirater son PC. "Je ne fais pas de banque en ligne, je ne stocke pas d'informations sensibles sur ma machine! Je ne l'utilise que pour vérifier mes emails. Qu'est-ce que les pirates pourraient vouloir avec ce morceau de camelote ?, "sont tous des refrains communs de ce type d'utilisateur.J'ai récemment mis à jour le graphique (ci-dessous) pour inclure certains des usages malveillants de plus en plus répandus pour les PC piratés, y compris les attaques d'otages - comme les ransomwares - et le détournement de réputation sur les forums de réseaux sociaux.

La prochaine fois que quelqu'un demande pourquoi les mécréants pourraient vouloir pirater son PC, montrez-lui ce diagramme.L'une des idées que j'ai essayé de faire passer avec cette image est que presque tous les aspects d'un ordinateur piraté et la vie en ligne d'un utilisateur peuvent être et ont été banalisés. Si elle a de la valeur et peut être revendue, vous pouvez être sûr qu'il existe un service ou un produit offert dans le cybercriminel pour le monétiser. Je n'ai pas encore trouvé d'exception à cette règle.À titre d'exemple, considérons les outils pointer-cliquer illustrés ci-dessous, qui sont offerts sur plusieurs forums de fraude par un jeune mécréant entreprenant. Ce type fait et commercialise des dizaines d'outils de vérification de compte qui sont utilisés pour tester la validité et le statut de nombreux magasins et services en ligne populaires, y compris Amazon, American Express, eBay, Facebook, iTunes, PayPal et Skype.Outils de vérification de compte vendus sur le cybercriminel souterrain par un fournisseur.Principalement, je vois le graphique PC piraté comme un moyen de capturer l'attention et l'imagination de l'utilisateur moyen. Heureusement, ces gens peuvent ensuite être guidés vers quelques étapes simples pour éviter que leur machine ne soit piratée. Je construis une liste d'applications, des outils simples et des conseils qui peuvent aider sur ce front, disponible ici.




REF.:

Les 3 virus informatiques les plus connus et dangereux

Il circule beaucoup de mythes & légendes à propos des virus informatiques. Un des plus coriaces consistent à croire qu’il est possible d’être infecté simplement en ouvrant un e-mail ! C’était peut-être vrai avec la première version d’Outlook, mais ce n’est heureusement plus le cas aujourd’hui.

Pourquoi ne peut-on pas être infecté en ouvrant un e-mail ?

Les e-mails contiennent du texte ou du code HTML. Le HTML est le langage utilisé pour construire les pages web, comme celle que vous lisez actuellement. Un e-mail rempli de texte ou de HTML ne peut absolument pas nuire à votre ordinateur.
Fût une époque, Outlook (le client mail de Microsoft) exécutait le code Javascript que pouvait contenir les e-mails. Le Javascript est un autre langage utilisé pour le web qui peut, contrairement au HTML, nuire à l’utilisateur.
Cette époque est révolue : aucun client mail digne de ce nom n’exécute le Javascript qui pourrait être inséré par un pirate dans des e-mails.

Outre ces légendes urbaines, il existe des faits avérés assez incroyables dans le monde des virus. En voici 3 qui ont retenu mon attention et qui vous plairont sûrement.

1. Le virus le plus couteux de l’histoire de l’humanité

En 2004, un virus dénommé MyDoom fait son apparition. Le mode de propagation était classique : une fois qu’il avait infecté un ordinateur, le MyDoom envoyait des e-mails vérolés à tous les contacts du propriétaire pour les infecter à leur tour (grâce à une pièce jointe attrayante).

Un exemple d’email envoyé par MyDoom

Le virus servait à prendre le contrôle des ordinateurs infectés pour envoyer du spam mais aussi pour lancer des attaques contre des entreprises comme Google, Microsoft ou encore SCO, une boite de sécurité informatique.

Les experts de MessageLabs, une entreprise d’emailing, ont rapporté 7,4 millions  d’e-mails contenant le virus MyDoom. Toujours selon eux, 1 e-mails vérolé sur 41 infectait véritablement le destinataire (ce qui est monstrueux). La société d’antivirus Kaspersky estimait à 700.000 le nombre de PC infectés en 2004 (ça aussi c’est monstrueux).

Comme je l’ai dis plus haut, le virus lançait différentes attaques grâce à ses ordinateurs zombies. Des attaques ont eu lieu contre SCO, Microsoft et Google. Microsoft dépensa 5 millions de dollars pour aider le FBI à trouver le créateur + 250.000$ de récompense à quiconque donnerait des informations sur lui.

En Juillet 2004, Google a cessé de fonctionner pendant une journée entière suite à une attaque d’une variante de MyDoom. Difficile à imaginer aujourd’hui…. La dernière fois que Google a flanché violemment, c’était à la mort de Mickael Jackson. Le moteur a eu du mal à ingérer les millions de requêtes par seconde qu’il recevait.

Bref, au total, le virus MyDoom aura coûté approximativement 38 milliards de dollars à l’État américain et à toutes les entreprises attaquées entre 2004 et 2007. 38 milliards. Pour info, le déficit de la sécu en France s’élève à 11 milliards d’euros…. soit à peine 13 milliards de $.

L’auteur du virus, vraisemblablement Russe, n’a jamais été retrouvé. La v1 de MyDoom a été programmée pour arrêter sa propre diffusion à une date donnée (février 2004) ce qui a valu la découverte de dizaines de dérivées du virus qui prenaient la relève à chaque fois. Tous les dérivés semblent avoir été écrits par la même personne.

2. Le tout premier virus de l’histoire a été créé par 2 frères Pakistanais

Il s’appelait Brain et voici ses créateurs :

Les créateurs de Brain, le premier virus de l’humanité

Les deux frères ont conçu ce virus en 1986 pour protéger leur logiciel d’analyse médical des pirates. En clair, chaque personne qui utiliserait une copie illégale de leur logiciel médical serait infecté par Brain ! La sentence était assez terrible, puisque l’ordinateur affichait cet écran au démarrage sans moyen d’aller plus loin :

L’écran d’un ordi infecté par Brain

On pouvait y voir inscrit (à droite de la capture ci-dessus) :

Welcome to the Dungeon © 1986 Brain & Amjads (pvt). BRAIN COMPUTER SERVICES 730 NIZAM BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Beware of this VIRUS…. Contact us for vaccination…

Ils donnaient leur adresse et leur numéro de téléphone pour que les victimes se fassent dépanner (“contactez-nous pour la vaccination“) ! Ils n’avaient pas prévu que des milliers de personnes allaient se faire piéger et appèleraient. Leur ligne a été totalement saturée et les médias se sont emparés de l’histoire.

Leur entreprise actuelle, Brain Net, est l’un des plus célèbres fournisseurs d’accès Internet au Pakistan. Ils avouent eux-même que Brain a été un bon tremplin À l’occasion de l’anniversaire des 25 ans de Brain, les deux auteurs ont accepté de participer à un documentaire intéressant sur le sujet.

3. Le plus grand réseau d’ordinateurs zombies… oscar à Zeus !

Zeus est un virus type trojan, qui permet d’espionner et de prendre le contrôle d’un ordinateur infecté. Majoritairement utilisé par des groupes purement criminels type mafias organisées, Zeus a servi à voler des millions de numéros de cartes de crédit. Les débits bancaires pouvaient être de plusieurs dizaines de milliers d’euros pour les victimes !

Des mules étaient employées pour récupérer l’argent volé déposé sur des comptes bancaires. Ces mules étaient engagées par Internet par les hackers pour récupérer en cash l’argent dans un distributeur et leur amener en Europe de l’Est.

Hamza Bendelladj, arrêté en 2013 par le FBI, semble avoir été la tête pensante du réseau criminel derrière Zeus.

Hamza Bendelladj, l’auteur présumé de Zeus et organisateur du réseau

Sur le Darknet, le virus coûtait entre 3000 et 4000$ minimum à celui qui voulait se le procurer, sans compter certains modules supplémentaires. Le module qui permettait par exemple de récupérer toutes les données du navigateur Firefox sur l’ordinateur de la victime coûtait 2000$ de plus. Le module qui permettait de faire tourner le virus sur Windows Vista et Windows 7 coûtait 2000$ lui aussi.

A titre personnel, je crois avoir rencontré des réseaux d’affiliation qui permettaient de gagner entre 40 et 50$ par ordinateur que l’on infectait avec Zeus et que l’on “offrait” ensuite au réseau. Pourquoi pas après tout ! Plus on est de fous, …

Conclusion

L’historique des virus informatique est vraiment passionnant. Ces 3 faits sont ceux qui m’ont le plus marqués pendant mes recherches, mais je ne doute pas qu’il en existe d’autres aussi excitants. Je pense notamment aux virus qui détruisent du matériel civil ou militaire.

Si le spectaculaire vous intéresse dans le monde du hacking, je vous recommande de découvrir mon article sur les attaques incroyables de social-engineering : “3 attaques de social-engineering auxquelles vous n’auriez jamais pensé“.

REF.:

Hackers: Attaque du 21 Octobre 2016,par l'internet des objets/Zombie ?

La moitié de l'Internet est down actuellement, Voici pourquoi (Mis à jour)

 Dyn DNS est confronté à une attaque DDoS massives qui se traduit par une interruption de service généralisée. De nombreux sites sont confrontés à des temps d'arrêt partiel ou complet. Alors que Dyn DNS continue à faire face à l'attaque DDoS, les forces derrière le même restent inconnus.Serveurs de Dyn, une foule importante de DNS, connaît un déni massif de service distribué (DDoS). En conséquence, de nombreux sites comme Twitter, Spotify, etc. sont soit confrontés à des temps d'arrêt ou les utilisateurs sont confrontés à différents types de problèmes.Selon la page du Dyn DNS d'état, l'attaque a commencé à 11h10 UTC le vendredi 21 Octobre 2016. Alors que certains clients ont connu une augmentation des requêtes DNS de latence, d'autres aux prises avec des questions telles que la propagation de la zone retardée.Outre les sites mentionnés ci-dessus, les autres grands noms ayant des problèmes sont Reddit, Airbnb, Esty, Box, SaneBox, GitHub, Heroku, etc. Ces sites sont soit totalement  down ou de subir des pannes partielles.


Ces dernières semaines, des hackers anonymes ont lancé l’une des plus grosses cyberattaques qu’Internet ait jamais connu. L'attaque, caractérisée par sa virulence et son échelle, a fait intervenir un large réseau de caméras piratées participant de ce que l’on nomme l’Internet des Objets (IoT).
Vendredi, le pirate qui s’attribue la paternité du malware a publié son code source, dont l’authenticité a été attestée.

« Il semble que les données publiées soient authentiques, » explique Marshal Webb, chef de la technologie chez BackConnect, une société proposant des solutions anti-DDoS qui a rassemblé et analysé des échantillons du malware lors des dernières semaines.
Le code malveillant n’est pourtant pas très sophistiqué, selon les experts en sécurité qui l’ont étudié.
« L’individu ou les individus qui l’ont écrit se sont donné du mal. Il est plus complexe que le code médiocre que l’on trouve d’ordinaire dans des appareils de l’IoT, » nous explique Darren Martyn, l’un des chercheurs ayant examiné le malware de près. « Mais cela reste du code amateur. »
Le malware en question, baptisé Mirai, a été mis à disposition sur Hackforums par son créateur présumé, puis publié sur GitHub. Mirai est conçu pour scanner l'Internet et détecter les appareils vulnérables connectés à Internet qui utilisent le protocole telnet, et possèdent des login et mots de passe faibles par défaut tels que « admin, » et « 123456, » « root, » et « password, » voire « mother » et « fucker, » des identifiants utilisés par un autre réseau de bots constitué de routeurs piratés.

Un échantillon des combinaisons de nom d’utilisateur et de mots de passe que le malware a cherché sur le réseau afin de pirater les appareils vulnérables.

Une fois le logiciel malveillant a identifié les appareils vulnérables, qui sont le plus souvent des caméras de surveillance, des enregistreurs vidéo numériques ou des routeurs, il les infecte. Cela donne à l'opérateur du logiciel malveillant un contrôle total des appareils piratés et lui permet de lancer des attaques DDoS, comme celle qui a frappé le site du journaliste Brian Krebs ou le fournisseur d'hébergement OVH, en utilisant diverses sources de trafic comme UDP, DNS, HTTP, voire des IP GRE.
Le malware est conçu pour être utilisé comme un service de type DDoS-for-hire, comme l’indiquent les chaines de code : « Partager cet accès est interdit ! (…) Ne partagez pas vos informations d’identification ! »
Le code est rempli de blagues et d’entrefilets amusants, de mentions de mèmes célèbres, et même d’un lien YouTube pointant faire la fameuse vidéo de Rick Astley, « Never Gonna Give You Up. » C’est une façon pour l’auteur du code de se payer la tête des chercheurs et des experts en sécurité qui inspecteront le code pour le compte d’une institution ou du gouvernement.

« Ce code est de meilleure qualité que celui qu’on trouve généralement sur les appareils reliés à l’Internet des objets, mais cela reste du code amateur. »

Certains chercheurs ont noté que le code nécessitait quelques ajustements avant d'être lancé. Comme le chercheur en sécurité informatique MalwareTech nous l’a expliqué, la commande DDoS « se contentera de diffuser des conneries dans un langage ‘hacker’, sans déclencher d’attaque. » Une autre blague, sans doute.
Martyn précise que pour utiliser le malware publié, il faut en modifier la configuration. Cependant « n’importe qui pourrait y parvenir en trente minutes, s’il connaît un minimum son sujet. »
Fait intéressant, certaines parties du code malveillant présentent des commentaires rédigés en cyrillique, ce qui laisse penser que l'un des auteurs du code vient d'Europe de l’est.
De fait, le malware fonctionne toujours ; maintenant qu’il a été rendu public, il se propage comme une trainée de poudre. Si un logiciel malveillant de qualité médiocre est capable de générer l’une des attaques DDoS les plus virulentes de tous les temps, et compte tenu du triste état de la sécurité de l'Internet des objets en général, nous devrions nous préparer à des attaques toujours plus fréquentes sur notre réseau IoT supposément « intelligent. » Cela fait des mois qu’experts et journalistes mettent en garde contre la vulnérabilité de l’Internet des Objets, mais ces avertissements semblent n’avoir produit aucun effet.
« Je suis surpris qu’un code aussi simpliste puisse être à l’origine d’une telle attaque DDoS. Cela en dit long sur la sécurité de l’Internet des Objets, » explique un chercheur en sécurité surnommé Hacker Fantastic à Motherboard. « Si les gens ne se décident pas à changer les mots de passe par défaut et à désactiver telnet sur les équipements connectés à Internet, nous devons nous attendre à désastre. »



Les PC Zombies cachés:
Tous les PC allumés en permanence (que l'on laisse rouler la nuit),comme la gamme de PC fonctionnant sous Windows XP,certaine petite cie utilisent encore windows 3.11 dans leurs sous-sol, et ne se mettant plus a jour participe involontairement a des botnets actifs.Tous logiciels craqués incluant windows,des logiciels utilisant WinPcap ou installant un  Gold Pack s'affichant lors du lancement du programme et sans votre accord contient tout les éléments pour vous faire hacker et devenir un zombie!
Par exemple en France ,Microsoft a tourné la page Windows XP en avril 2014 avec la fin du support étendu,c'est  9,11% des PC en septembre 2016.En avril 2015, Windows XP occupait 17% de la part du marché ^mondiale.
Lors du lancement de Windows 10. En janvier 2016, Windows XP est devancé par Windows 10 qui se place en deuxième position derrière Windows 7⁴⁴.Et pour windows Vista ce sera la fin des mises a jour , le 11 avril 2017,donc facilement vulnérable a devenir des PC zombies !Microsoft ne vous en parlera jamais car c'est une catastrophe de ne plus donner de service,et c'est la même chose pour tous les cellulaires qui sont sans mise a jour possible,nous vivons dans un monde jetable !


*

Les attaques DDoS depuis un réseau d’objets connectés se multiplient. Level 3 a détecté un botnet composé d’un million de caméras de surveillance.

Lancer des attaques DDoS à l’aide d’une armée d’objets connectés à la solde de cybercriminels n’est plus une fiction Le laboratoire de recherche de menaces de l’opérateur Level 3 et la société de sécurité Flashpoint ont travaillé de concert pour traquer les malwares qui visent les objets connectés (via Internet) dans l’objectif de lancer des attaques par déni de service. Attaques qui peuvent impacter n’importe quel serveur en ligne et pas uniquement d’autres éléments propres à l’Internet des objets (IoT).
Ces malwares permettant d’échafauder des bots se nomment notamment Lizkebab, BASHLITE, Torlus ou encore gafgyt. La détection de leur existence remonte même à début 2015, quand leur code a commencé à circuler. Depuis, il a donné naissance à plus d’une douzaine de variantes. Écrits en C, ces logiciels sont conçus pour être facilement compilables et touchent différentes architectures processeurs sous Linux. « Cela en fait une bonne option pour tourner sur des appareils IoT et autres systèmes embarqués qui utilisent souvent différentes architectures de processeurs pour se conformer aux exigences de coût et de puissance », remarque Level 3 sur son blog. Quand un terrain est propice au développement d’un bot, les pirates ne cherchent pas à identifier l’architecture de l’objet, mais lance l’exécution de plusieurs variantes du malware (une douzaine, rappelons-le) en espérant qu’il y en aura une qui se fera comprendre de leur hôte involontaire.

Des attaques à plusieurs centaines de Gbit/s

Systématiquement, le malware implémente un module client/serveur standard. Ensuite, chaque botnet tente de conquérir d’autres objets en cherchant et en exploitant leurs failles de sécurité pour installer les souches infectieuses. Deux modes opérationnels sont utilisés. Le premier, classique, part à la recherche d’un serveur Telnet – administrant légitimement des objets – qu’il tente de pénétrer par force brute (une attaque du couple login/mot de passe). Le second, qui se généralise rapidement, passe en revue le réseau pour repérer de nouveaux objets ‘zombies’. « En dépit d’un manque de sophistication, beaucoup de ces botnets sont capables de produire de puissantes attaques », avance Level 3. Qui a pu constater des tsunamis de plusieurs centaines de Gbit/s lancées depuis ce type de botnets.En 2015, la plus grosse attaque DDoS enregistrée avait été de 334 gigabits par seconde, les récentes attaques montent à plus de 1 000 gigabits par seconde !

Plusieurs groupes de cybercriminels, comme Lizard Squad ou Poodle Corp, exploitent ou commercialisent déjà des botnets d’objets connectés pour lancer des attaques par déni de service distribué. Les réseaux de caméras de surveillance, et plus particulièrement les systèmes d’enregistrement numériques des vidéos (DVR), sont particulièrement prisés. Notamment parce que nombre d’entre eux sont déployés avec les identifiants de connexion fournis par défaut et que ces objets sont facilement détectables. Ensuite parce que la bande passante nécessaire au service de communication vidéo offre une capacité d’attaque intéressante aux DDoS

Un million de DVR enrôlés dans un botnet

De fait, Level 3 et Flashpoint ont observé une attaque qui s’est emparée de plus d’un million de DVR, principalement à Taïwan, au Brésil et en Colombie. Dont une large majorité fournie par le constructeur Dahua Technology (que Flashpoint a bien évidemment alerté). Parmi les appareils enrôlés dans ce botnet, les deux partenaires ont déterminé que près de 96% étaient des objets connectés (dont 95% de caméras et DVR), tandis que les routeurs résidentiels ne représentaient environ que 4% des victimes ; les serveurs Linux pesant moins de 1%. « Cela constitue un changement radical dans la composition des botnets par rapport aux botnets DDoS composés de serveurs et routeurs résidentiels que nous observions par le passé », s’inquiète Level 3. La majorité des attaques déclenchées par ces réseaux zombies utilise classiquement les flux UDP et TCP pour noyer leurs victimes (particulièrement des sites et plates-formes de jeux en ligne) sous les requêtes. De plus, la plupart des attaques sont de très courte durée, à peine 2 minutes pour la plupart et moins de 5 minutes dans 75% des cas.

Le pire reste à venir et internet est clairement menacé:

 Certains câbles sous-marins par exemple datant du début du siècle sont à la limite des capacités de certaines attaques en termes de débit, ce qui signifie qu’il est possible de faire tomber l’internet de certains pays. A titre d’exemple, comme le montre le site Atlantico le câble « Lion » reliant Madagascar, La Réunion et l’île Maurice, a une capacité maximum de 1 280 gigabits par seconde, une telle attaque en plus du trafic internet normal, paralyserait tous ces pays. Les progrès exponentiels des cyberattaques et de la puissance de frappe vont plus vite que la capacité à adapter le réseau mondial, en théorie certains spécialistes évoquent déjà la possibilité qu’un jour le web mondial puisse être affecté par des attaques massives et demandent aux gouvernements d’agir plus efficacement sur le sujet.Certains pointent du doigt la Chine ou la Russie, mais il n’est pas impossible qu’un puissant groupe de cybercriminels se soit transformé en cyber-mercenaire, mettant leurs compétences et leurs botnets aux services de quelqu’un prêt à payer pour paralyser des sociétés, des pays et qui sait un jour, internet… Sombres perspectives !

En savoir plus sur http://www.silicon.fr/internet-objets-service-ddos-156328.html#hkD6qRUq5vY5mzqT.99

Source.: 

 http://motherboard.vice.com/fr/read/un-malware-mediocre-suffit-a-pirater-l-internet-des-objets

Intel embarque-t-il une porte dérobée dans toutes ses puces ? La Management Engine ou la Damagement Engine ?

 

Julianprescott2604juuly (Creative Commons)

De plus en plus d’experts critiquent ouvertement le composant Management Engine qu’Intel embarque dans tous ses chipsets récents. C’est un ordinateur dans l’ordinateur, doté d’énormes privilèges d’accès et dont le code est complètement opaque.

La communauté du logiciel libre tire la sonnette d’alarme. Selon elle, la sécurité de la plupart de nos équipements informatiques est compromise, et les coupables sont tout désignés : les puces Intel de dernière génération. Plusieurs porte-paroles de la communauté libre ont récemment publié des notes de blog au vitriol sur un composant bien étrange qui se trouve désormais intégré dans les CPU d’Intel : le « Management Engine » (ME).
Pour les partisans du libre, cette petite entité – qui est censée fournir tout une ensemble de services de sécurité (Trusted Platform Module) et d’administration à distance (Active Management Technology) – est le diable en silicium. C’est un véritable ordinateur à l’intérieur de l’ordinateur. Il dispose de son propre système d’exploitation (propriétaire) et de ses propres interfaces réseaux (adresse MAC). Il a un accès direct à la mémoire du PC et peut prendre son contrôle à n’importe quel moment. Et, bien sûr, il ne peut jamais être désactivé.
Bref, c’est le mouchard idéal. « Il peut allumer ou éteindre le PC, ouvrir tous les fichiers, examiner toutes les applications lancées, connaître les mouvements de la souris et l’enfoncement des touches de clavier, et même capturer ou insérer des images sur l’écran », explique Leah Woods, développeuse en chef de Libreboot, dans une note de blog de la Free Software Foundation. Libreboot est un BIOS libre que Leah Woods et ses amis installent sur des PC Linux que l’on peut acheter sur Minifree.org.

Un code impossible à remplacer

La deuxième salve anti-Intel est venue de Damien Zammit, qui participe également au projet Libreboot. Pour ce développeur, ME est une dangereuse boîte noire qui, si elle est compromise par un attaquant, permet d’installer des portes dérobées (rootkit) « quasi indétectables et imparables », explique-t-il sur le site boingboing.net. Dans l’idéal, Damien Zammit aimerait bien sûr se débarrasser du code propriétaire d’Intel et installer son propre système sur le ME. Malheureusement, c’est impossible car le firmware du ME est vérifié par une ROM secrète intégrée dans le chipset, au travers d’un algorithme de signature électronique basé sur RSA 2048 bits. « Toutefois, il y a peut-être un bug que l’on peut exploiter dans cette ROM », espère Damien Zammit.
Si les développeurs de Libreboot sont tellement vent debout contre ME, c’est parce que cette technologie annihile tous leurs efforts. Leur but est de créer des ordinateurs où toutes les couches informatiques sont libres et open source : le matériel, le BIOS, le système d’exploitation, les applications. Le ME représente, de ce point de vue, un obstacle incontournable.

Tous des PC zombies

Des chercheurs en sécurité ont également planché sur ce problème. C'est notamment le cas de Joanna Rutkowska. En décembre dernier, à l’occasion de la conférence 32C3, cette chercheuse d'Invisible Things Labs a détaillé le fonctionnement du Management Engine d'Intel et listé ses différentes voies d’accès dans le PC. On voit bien que le ME dispose de privilèges hors du commun, alors que « personne ne sait ce qu’il y a dedans ».  

Joanna Rutkowska -

Pour Joanna Rutkowska, le ME « n’est pas seulement un redoutable vecteur d’attaque, il transforme également tous nos PC en PC zombies ». Selon elle, le but d’Intel est d’inverser le modèle d’implémentation actuel, où le système d’exploitation et les applications prennent en charge les traitements de données sensibles, comme le chiffrement ou la génération de nombres aléatoires.
Ces traitements seraient alors progressivement transvasés vers le matériel et, notamment, le ME. « Le code du ME n’est pas forcément malveillant, mais peut-être qu’il contient des erreurs, peut-être que l’implémentation n’a pas été faite de manière correcte. Intel, évidemment, pense que tout ce qu’il fait est forcément sécurisé… », souligne-t-elle.  

Joanna Rutkowska -

Pour sa part, Joanna Rutkowska a proposé un modèle d’implémentation matérielle alternatif orienté vers une sécurité maximale. Son PC idéal est celui qui ne garde aucune donnée de manière persistante (« stateless hardware »). Les données persistantes sont stockées sur des « clés USB de confiance » (« trusted sticks »).
En définitive, cette puce omnipotente et totalement opaque, la Management Engine, s'avère inquiétante. On comprend assez facilement pourquoi Damien Zimmer la surnomme la Damagement Engine. Un processeur qui, au-delà de son but premier, menace et fragilise votre sécurité et celle de votre machine...
Sources.:
Boingboing, FSF
Joanna Rutkowska: article sur la technologie Intel, article sur l’architecture PC non persistante    

Il y aurait 3,600 réseaux de zombies opérationnels sur Internet actuellement

Économie des réseaux de PC zombies

Les réseaux de PC zombies ont considérablement évolué ces 10 dernières années. De quelques dizaines d’ordinateurs, gérés depuis des centres de commandes, ils sont passés à des millions de machines constituant des réseaux complexes et dotés d’une administration décentralisée. Quel est l’intérêt de créer de si grands réseaux de zombies ? Une seule réponse : l’appât du gain.
Un réseau de PC zombies, ou botnet, est un réseau d’ordinateurs infectés par un programme malveillant, qui permet à des individus mal intentionnés d’administrer ces ordinateurs à l’insu de leur propriétaire. Les réseaux de zombies représentent désormais une source de revenus stables pour un grand nombre de bandes cyber-criminelles. Le faible coût de production et la simplicité de l’administration des réseaux de PC zombies contribuent à leur popularité, et expliquent leur augmentation.
De nombreuses possibilités s’offrent aux individus qui souhaitent exploiter un réseau de zombies, du cybercriminel expérimenté au moins qualifié. Il est possible de monter de toutes pièces un réseau de zombies, les instructions nécessaires à leur création se trouvant facilement sur Internet.
Pour mettre sur pied un nouveau réseau de PC zombies, le cybercriminel peut infecter les ordinateurs des victimes à l’aide d’un programme spécial baptisé « bot ». Les bots sont des programmes malveillants qui regroupent les ordinateurs infectés au sein des réseaux de zombies.
Les moins doués pour la programmation peuvent tout simplement acquérir des réseaux de PC zombies, commercialisés sur certains forums. Les acheteurs peuvent demander l’obscurcissement et le chiffrement du code de leurs programmes, afin qu’ils ne puissent être découverts par les logiciels antivirus.
Le cybercriminel peut également choisir de détourner un réseau de PC zombies existant.
L’étape suivante pour le cybercriminel consiste à infecter les ordinateurs des victimes à l’aide de programmes malveillants. Il peut pour cela avoir recours à l’envoi de courriers non sollicités, à la diffusion de messages dans les forums ou sur les réseaux sociaux, ou encore au téléchargement à la dérobée. Le bot peut lui-même développer des fonctions de diffusion automatique, comme n’importe quel virus ou vers.
Diverses astuces d’ingénierie sociales sont exploitées lors de la diffusion de messages non sollicités ou de la publication de messages sur des forums ou des réseaux sociaux, afin de pousser la victime potentielle à installer le bot. Il peut s’agir d’une invitation à regarder une vidéo intéressante qui requiert un codec spécial. Une fois ce codec téléchargé et exécuté, l’ordinateur est infecté à l’insu de son utilisateur. Il devient un « esclave », à la merci du cybercriminel à la tête du réseau.
La deuxième technique la plus utilisée est celle du téléchargement à la dérobée, c’est à dire le téléchargement discret d’une application malveillante. Lorsque la victime accède à une page Web infectée, le programme malveillant est téléchargé sur son ordinateur via diverses vulnérabilités présentes dans les applications et les navigateurs Internet le plus souvent utilisés. Des codes d’exploitation sont utilisés pour tirer profit des vulnérabilités. Ces codes permettent non seulement de télécharger discrètement un programme malveillant, mais également de l’installer à l’insu de l’utilisateur. Si l’attaque réussit, l’utilisateur ne se doute même pas que son ordinateur est infecté. Ce mode de diffusion des applications malveillantes est le plus dangereux : si la ressource compromise est très fréquentée, ce sont des dizaines de milliers d’utilisateurs qui seront infectés !

Figure1. Piège pour l’utilisateur. (Fausse page YouTube)

Le bot peut avoir des fonctions de diffusion automatique via les réseaux informatiques. Il peut par exemple se propager en infectant tous les fichiers exécutables accessibles, ou en recherchant les ordinateurs vulnérables du réseau pour les infecter. Virus.Win32.Virut et Net-Worm.Win32.Kido en sont des exemples : le premier est un programme polymorphe qui infecte des fichiers, le second est un ver de réseau. L’efficacité de cette approche est difficile à évaluer : à l’heure actuelle, le réseau de zombies construit par le ver Kido est le plus étendu au monde.
Le créateur d’un réseau de PC zombies peut contrôler les ordinateurs infectés à l’insu des utilisateurs, grâce à un centre de commandes qui communique via un canal IRC, une connexion Internet, etc. Il suffit de réunir quelques dizaines de machines pour que ce réseau de zombies commence à engendrer un revenu pour son propriétaire. Ce revenu est directement proportionnel à la fiabilité du réseau de zombies et à son rythme de croissance.

Comment les propriétaires de réseaux de PC zombies gagnent-ils de l’argent ?

Plusieurs possibilités existent pour rendre lucratifs les ordinateurs asservis : attaques par déni de service distribué, collecte d’informations confidentielles, diffusion de courrier indésirable, hameçonnage, courrier indésirable de recherche, augmentation du nombre de clics ou téléchargement de logiciels publicitaires et d’applications malveillantes. Il faut noter que quelle que soit l’activité choisie par l’individu mal intentionné, les bénéfices seront au rendez-vous. Et d’ailleurs, pourquoi choisir ? Un réseau de zombies est parfaitement capable de réaliser toutes ces activités… simultanément !

Figure 2. Réseaux de PC zombies et affaires

Attaques par déni de service distribué

De nombreux chercheurs pensent que la fonction DDoS était déjà exploitée par les tous premiers réseaux de PC zombies. L’attaque par déni de service distribué est une attaque menée contre un système informatique dans le but de mettre celui-ci hors service, c’est-à-dire de le rendre incapable de recevoir et de traiter les requêtes d’utilisateurs légitimes. Une des méthodes les plus souvent utilisées consiste à envoyer un nombre élevé de requêtes à l’ordinateur de la victime, afin de le mettre hors service s’il ne dispose pas des ressources suffisantes pour traiter toutes les requêtes reçues. L’attaque par déni de service distribué est une arme précieuse pour les pirates, et le réseau de zombies est l’outil idéal pour exécuter ce genre d’attaque. Les attaques DDoS peuvent être employées aussi bien dans la lutte contre les concurrents que dans le cadre d’attaques de cyberterroristes.
Le propriétaire d’un réseau de zombies peut mener pour le compte de clients peu scrupuleux des attaques DDoS à l’encontre des sites de ses concurrents, qui sont ainsi rendus inopérationnels. Le cybercriminel peut alors exiger une rançon, plus ou moins importante. De la même manière, les propriétaires de réseaux de zombies peuvent utiliser à leur propre compte les attaques par déni de service distribué, afin d’extorquer de l’argent à de grandes entreprises. L’entreprise préfère souvent accéder aux demandes du cybercriminel, car la réparation des dégâts provoqués par une telle attaque coûterait encore plus cher.
En janvier 2009, une attaque menée contre l’un des plus importants hébergeurs, godaddy.com, a entrainé la mise hors ligne de plusieurs milliers de sites hébergés sur les serveurs de la société pendant près de 24 heures. Que s’était-il passé ? Une autre société d’hébergement avait-elle appliqué cette tactique illégale pour affaiblir son concurrent, ou l’hébergeur Go Daddy avait-il été la victime du chantage d’un groupe de cybercriminels ? Les deux scénarios sont possibles. Cet hébergeur avait d’ailleurs déjà été victime d’une attaque similaire en novembre 2005. A l’époque, le service avait été suspendu pendant une heure seulement. L’attaque la plus récente, bien plus terrible que la première, témoigne de la croissance incontestée des réseaux de PC zombies.
En février 2007, plusieurs attaques ont été lancées contre des serveurs DNS racines, dont dépend directement le fonctionnement normal de l’ensemble d’Internet. Il est peu probable que ces attaques visaient à détruire Internet car sans lui, les réseaux de zombies ne pourraient exister. Il s’agissait plutôt d’une démonstration de la force et des possibilités des réseaux de zombies.
Des publicités pour la réalisation d’attaques par déni de service distribué s’affichent ouvertement sur de nombreux forums consacrés au sujet. Concernant les tarifs, on observe que le prix à payer pour une attaque oscille entre 50 dollars et plusieurs milliers de dollars par journée complète d’utilisation d’un réseau de zombies. Cet écart au niveau des prix est compréhensible et justifié : l’utilisation d’un petit réseau de zombies (environ 1 000 ordinateurs) suffit pour perturber les ventes du magasin en ligne non protégé d’un concurrent pendant une journée, et cela ne coûtera pas très cher au contrevenant. La situation est toute autre si le concurrent est une grande société multinationale dont le site est protégé, ce qui impliquera l’utilisation d’un nombre bien plus élevé d’ordinateurs pour mener une attaque DDoS concluante. Le prix sera évidemment plus élévé.
Selon les données recueillies par shadowserver.org, près de 190 000 attaques par déni de service distribué ont été organisées en 2008, ce qui aurait rapporté aux cybercriminels près de 20 millions de dollars. Cette estimation ne tient pas compte des revenus du chantage, qu’il est tout simplement impossible d’évaluer.

Collecte d’informations confidentielles

Les informations confidentielles enregistrées sur le disque dur des ordinateurs intéresseront toujours les individus mal intentionnés. Les informations les plus prisées sont les numéros de cartes de crédit, les données financières et les mots de passe d’accès à divers services : courrier électronique, FTP, clients de messagerie FTP. Les programmes malveillants modernes sont capables de sélectionner les données nécessaires aux cybercriminels. Il suffit pour cela de charger le module adéquat sur l’ordinateur infecté.
Les cybercriminels peuvent soit revendre les informations volées, soit les utiliser dans leur propre intérêt. Chaque jour, des annonces pour la vente de codes d’accès à des comptes en banque sont publiées sur les forums clandestins. Le coût dépend de la quantité d’argent disponible sur le compte de l’utilisateur, et est compris entre 1 et 1 500 dollars par compte. La limite inférieure indique que la concurrence qui règne entre les différents cybercriminels du milieu pousse ces derniers à réduire les prix. Pour pouvoir gagner beaucoup d’argent, ils doivent pouvoir compter sur un flux stable de nouvelles données, ce qui implique une croissance stable des réseaux de zombies.
Les informations financières intéressent tout particulièrement les cybercriminels spécialisés dans la fabrication de fausses cartes bancaires. Pour se rendre compte de la rentabilité de ces opérations, il suffit de se souvenir de l’histoire de ce groupe de cybercriminels brésiliens arrêtés il y a deux ans. Ils avaient réussi à retirer 4,74 millions de dollars de divers comptes en banque en utilisant des données dérobées sur des ordinateurs.
Les données confidentielles qui n’ont aucun rapport direct avec l’argent des victimes intéressent les criminels qui se consacrent à la création de faux document, à l’ouverture de faux comptes en banque, à des affaires illégales, etc.
Le coût des données personnelles dérobées dépend directement du pays où vit le détenteur légitime de ces données. Par exemple, les données complètes de résidents des Etats-Unis valent entre 5 et 8 dollars. Sur le marché noir, les données d’habitants de l’Union européenne sont particulièrement recherchées : elles coûtent deux à trois fois plus cher que les données de résidents des Etats-Unis et du Canada. Ceci s’explique par le fait que les criminels peuvent utiliser ces données dans n’importe quel pays de l’Union européenne. La moyenne sur le marché mondial pour un kit complet de données relatives à un individu est de 7 dollars.
Les adresses de courrier électronique figurent parmi les données recueillies par les réseaux de zombies. A la différence des numéros de carte de crédit et des codes d’accès à des comptes bancaires, il est possible de récolter une multitude d’adresses depuis un seul ordinateur. Les adresses récoltées sont ensuite vendues, parfois « en gros », au mégaoctet. Les diffuseurs de courrier indésirable sont les principaux acheteurs. Une liste contenant un million d’adresses électroniques coûte entre 20 et 100 dollars, et la diffusion de messages aux adresses de la liste est comprise entre 150 et 200 dollars. La rentabilité est évidente.
Les criminels recherchent également les données d’accès à divers services payants et magasins en ligne. Ces données coûtent moins cher que les données d’utilisateurs, mais leur vente s’accompagne d’un risque moindre en matière de poursuites judiciaires. Ainsi, les données d’accès à un compte client sur le magasin en ligne Steam, qui propose des dizaines de jeux, sont vendues entre 7 et 15 dollars par compte.

Figure 3. Annonce sur un forum pour la vente de comptes Steam

Hameçonnage

La création de sites de hameçonnage est simple, mais il faut toutefois des moyens pour prévenir la fermeture de ces sites. C’est ici qu’interviennent les réseaux de zombies qui garantissent le fonctionnement de la technologie Fast-flux. Elle permet de modifier à intervalle de quelques minutes l’adresse IP des sites tout en conservant le nom de domaine, ce qui prolonge la durée de vie de ces réseaux et complique leur découverte et leur mise hors-service. Des ordinateurs de particuliers, intégrés à des réseaux de PC zombies, sont utilisés comme serveurs Web, avec du contenu de phishing. Fast-flux est plus efficace que les serveurs proxy pour dissimuler les faux sites Web sur Internet.
Ainsi le célèbre groupe Rock Phish, qui pratique le hameçonnage, collabore avec les opérateurs du réseau de zombies Asprox. En milieu de l’année dernière, le groupe Rock Phish, responsable de la moitié des attaques d’hameçonnage sur Internet qui ont entraîné plusieurs millions de dollars de pertes pour les utilisateurs des systèmes de transactions bancaires en ligne, a modernisé son infrastructure en utilisant la technologie Fast-flux. 5 mois ont été nécessaires, et le tout a été réalisé de manière professionnelle. Mais ils n’ont toutefois pas créé leur propre réseau Fast-flux : ils ont acheté une solution « clé en main » auprès des propriétaires d’Asprox.
Pour un hébergement Fast-flux, les cybercriminels, le plus souvent des phishers, paient mensuellement les propriétaires de botnets entre 1000 et 2000 dollars.
Le revenu moyen d’une attaque de hameçonnage est comparable au revenu rapporté par le vol de données confidentielles à l’aide de programmes malveillants, et peut atteindre des millions de dollars par an.

Courrier indésirable

Des millions de messages non sollicités sont envoyés chaque jour dans le monde. La diffusion de ce courrier indésirable est une des fonctions principales des réseaux de zombies modernes. Selon les données de Kaspersky Lab, près de 80 % de l’ensemble des messages non sollicités sont envoyés via les réseaux de zombies.
Les ordinateurs des utilisateurs sont utilisés pour envoyer des milliards de messages faisant la publicité du viagra, de fausses montres, de casinos en ligne, etc. Ces messages surchargent les canaux de diffusion et encombrent les boîtes aux lettres. Les adresses à l’origine de la diffusion sont ajoutées aux listes noires des éditeurs de logiciels antivirus.
On a observé ces dernières années un élargissement de la gamme de services offerts par le spam : il existe désormais les messages non sollicités sur ICQ, les messages non sollicités sur les réseaux sociaux, les forums ou les blogs. Il s’agit d’une vraie « prouesse » des propriétaires de botnets : il est très facile de programmer un module complémentaire pour le client « bot », générant de nouvelles opportunités avec des messages tels que : « Courrier indésirable sur Facebook. C’est pas cher ».
Les tarifs du courrier indésirable varient en fonction du public visé et du nombre d’adresses qui reçoivent les messages. Les prix pour une diffusion ciblée sont compris entre 70 dollars pour des centaines de milliers d’adresses et 1 000 dollars pour quelques dizaines de millions d’adresses.
L’an passé, les diffusions de spams ont rapporté aux spammeurs la somme astronomique de 780 000 000 dollars.

Courrier indésirable de recherche

Il existe une autre application des réseaux de zombies, à savoir l’optimisation des recherches. Avec ce procédé, les responsables de sites tentent d’améliorer leur position dans les résultats de recherches. Plus un site se positionne en haut du classement, plus il recevra de visiteurs via les moteurs de recherche.
Les robots de recherche tiennent compte de plusieurs facteurs pour évaluer la pertinence d’un site. Un des principaux paramètres est le nombre de liens vers d’autres pages ou domaines. Plus le nombre de ces liens est élevé, plus le classement du site du point de vue du robot sera élevé. Le classement est également influencé par les mots qui composent les liens. Par exemple le lien « achetez nos ordinateurs » sera très pertinent pour la recherche « achat ordinateur »
L’optimisation pour les moteurs de recherche (Search Engine Optimization) est économiquement rentable. De nombreuses sociétés paient des sommes astronomiques à des webmasters afin qu’ils placent leur site en première position dans les résultats de recherche. Les propriétaires de réseaux de zombies ont étudié quelques astuces et ont automatisé le processus d’optimisation de la recherche.
Une multitude de liens, créés par un inconnu ou un ami, peuvent apparaitre dans les commentaires d’une entrée sur un blog, ou d’une photo en ligne. C’est la technique utilisée pour promouvoir son site via un réseau de zombies. Le programme spécialement développé à cet effet est installé sur l’ordinateur zombie, et il laisse au nom du propriétaire de l’ordinateur asservi des commentaires sur des sites fréquentés, comportant des liens vers le site promu.
Le prix moyen pour ces services illégaux de courrier indésirable de recherche est d’environ 300 dollars par mois.

Installation de logiciels publicitaires et de programmes malveillants

Imaginez-vous un instant en train de lire votre magazine en ligne favori sur l’automobile, quand soudain une fenêtre s’ouvre et vous invite à acheter des accessoires d’origine pour votre véhicule. A priori, il n’y a rien de mal à cela et vous seriez même disposé à réaliser cet achat. Par contre, vous savez pertinemment bien que vous n’avez installé aucune application pour la recherche d’objets dont vous avez besoin (ou pas). L’explication est simple : les propriétaires d’un réseau de zombies ont « pensé à vous ».
Les nombreux éditeurs qui proposent des services de publicité en ligne sont payés pour chaque installation de leur application. Il s’agit en général d’une somme modeste, de 30 cents à 1,5 dollars pour une installation. Toutefois, si l’individu mal intentionné dispose d’un réseau de zombies, il peut installer en quelques clics n’importe quelle application sur des milliers d’ordinateurs et gagner ainsi une somme importante.
Le célèbre cybercriminel D. K. Schifer, jugé en 2007, a gagné en un mois plus de 14 000 dollars en installant un logiciel publicitaire sur 10 000 ordinateurs à l’aide d’un réseau de PC zombies de plus de 250 000 machines.
Les représentants d’activités cybercriminelles qui diffusent des applications malveillantes suivent souvent le même modèle en se faisant payer pour chaque installation de leur logiciel. De plus, l’installation d’applications sur des ordinateurs dans différents pays n’a pas le même coût. Ainsi, l’installation d’un programme malveillant sur mille ordinateurs en Chine coûtera en moyenne 3 dollars alors qu’il faudra compter 120 dollars aux Etats-Unis. Ceci est tout à fait compréhensible dans la mesure où les utilisateurs des pays développés ont des données qui valent beaucoup plus d’argent.

Augmentation du nombre de clics

Les agences de publicité qui travaillent en ligne selon le modèle PPC (Pay-per-Click) versent de l’argent pour chaque clic unique sur les annonces. Pour les propriétaires de réseaux de zombies, tromper ces compagnies peut rapporter gros.
Prenons par exemple le célèbre réseau Google AdSense. Les annonceurs paient Google pour les clics sur les annonces, en espérant que le visiteur achètera quelque chose chez eux.
Google de son côté place des publicités contextuelles sur divers sites participant au programme AdSense et paie un pourcentage pour chaque clic au propriétaire du site. Malheureusement, tous les propriétaires de sites ne sont pas honnêtes. Ainsi, le pirate ayant accès à un réseau de zombies peut générer des milliers de clics uniques par jour, un par machine afin de ne pas éveiller les soupçons de Google. L’argent dépensé en publicité par la société arrive dans les poches du pirate. Malheureusement, il n’existe à ce jour aucun cas où les auteurs ont dû répondre de leurs actes.
Selon les données de Click forensics en 2008, 16 à 17% des clics sur les liens publicitaires étaient contrefaits, dont un tiers était généré par les botnets. Un calcul rapide nous montre que sur un an les propriétaires des botnets ont récolté grâce aux liens commerciaux 33 000 000 de dollars.

Location et vente de réseaux zombies

La célèbre formule « marchandise-argent-marchandise » énoncée par Marx devient, pour les propriétaires de réseaux de zombie importants, « réseau de zombies-argent-réseau de zombies ». Il est vrai que le maintien du réseau de zombies, la recherche de nouveaux zombies, la protection contre la détection des bots par les logiciels antivirus et la mise en place de centres de contrôle et de commande nécessitent des investissements aussi bien en temps qu’en argent de la part des pirates. Ils n’ont ainsi tout simplement pas le temps de diffuser eux-mêmes les messages, d’installer une application quelconque ou de voler des données et de les revendre. Il est plus simple de louer le réseau de zombies ou de le vendre à toute personne intéressée.
La location d’un réseau de zombies de messagerie dont la vitesse de diffusion est de 1 000 messages par minute (lorsque 100 zombies sont en ligne) revient à environ 2 000 dollars par mois. Le coût de la location d’un réseau de zombies « clé en main » dépend du nombre d’ordinateurs infectés. Les petits réseaux comptant quelques centaines de bots sont compris entre 200 et 700 dollars, un bot revenant en moyenne à 0,5 dollar. Les réseaux plus développés coûtent bien plus cher. Ainsi, le réseau Shadow, créé par un jeune pirate hollandais de 19 ans, comptant plus de 100 000 ordinateurs à travers le monde, a été vendu 36 000 dollars. C’est le prix d’une petite maison en Espagne, mais un criminel brésilien a préféré s’acheter un réseau de PC zombies.

Conclusion

Chaque jour, les personnes à la tête de réseaux de zombies empochent des sommes astronomiques. La lutte contre cette activité exploite tous les moyens possibles, mais est loin d’être efficace devant la loi. L’application de législations contre le courrier indésirable, contre la création et la diffusion de programmes malveillants, ou contre la violation de l’intégrité de réseaux informatiques, n’est pas une pratique adoptée dans tous les pays, et tous les pays ne possèdent d’ailleurs pas nécessairement une législation en la matière. Les propriétaires ou les créateurs de réseaux de zombies qui ont été traduits en justice se comptent sur les doigts de la main. Paradoxalement, le nombre de réseaux de zombies opérationnels sur Internet est élevé : on en recensait récemment 3 600. En réalité, le décompte du nombre de réseaux opérationnels n’est pas une mince affaire car il existe quelques dizaines de réseaux de zombies importants dont il est impossible de remarquer l’activité et une multitude de réseaux plus petits particulièrement difficiles à découvrir et à scinder.
A l’heure actuelle, la méthode la plus efficace pour lutter contre les réseaux de PC zombies consiste à jouer sur une collaboration étroite entre les spécialistes de la lutte contre les virus, les fournisseurs d’accès Internet et les autorités judiciaires. C’est peut-être cette coopération qui a entraîné la fermeture de trois sociétés : EstDomains, Atrivo et McColo. Il faut noter que la fermeture de la société McColo, dont les serveurs hébergeaient les centres de commande de plusieurs réseaux de zombies importants, spécialisés dans la diffusion de courrier indésirable, a entraîné une réduction de 50 % du nombre de messages non sollicités en circulation.
Les spécialistes étudient des milliers de réseaux de zombies, les logiciels antivirus détectent et neutralisent les bots dans le monde entier mais seules les autorités judiciaires peuvent interrompre l’activité des centres de commandes et capturer les criminels, ce qui « désactiverait » les réseaux de zombies à long terme. Les effets de la fermeture de McColo ont été de courte durée : quelques semaines plus tard, le volume de courrier indésirable avait à nouveau atteint son niveau habituel. Les propriétaires de réseaux de zombies ont déplacé leurs centres de commande chez d’autres hébergeurs, et ils ont poursuivi leur activité comme auparavant. Aussi, il est primordial de mener une lutte de tous les instants, et non pas seulement des vérifications ponctuelles. Malheureusement, les réseaux de zombies s’apparentent bien souvent à une hydre des temps modernes !
La lutte ne peut être efficace si elle ne compte pas l’appui des utilisateurs. Ce sont en effet les ordinateurs des particuliers que l’on retrouve majoritairement dans les réseaux de zombies. Le non-respect de règles de sécurité élémentaires, telles que l’utilisation d’un logiciel antivirus, l’utilisation de mots de passe robustes, ou la désactivation du lancement automatique des fichiers depuis les supports amovibles, peut transformer votre ordinateur en nouveau membre d’un réseau de zombies, ce qui mettrait vos données et vos ressources à disposition d’individus mal intentionnés. Pourquoi faciliter la tâche des cybercriminels ?

Source.:

Logiciels désuets qui transforme votre PC en PC Zombie !







Que ce soit des logiciels de mise a jour de HP, une copie win XP cracké,non conforme ou non mise a jour,non légale,provenant du P2P, ou un JAVA désuet vous êtes soumi a une contamination et vous serez un  PC Zombie !
C'est pire avec des fausses représentations d'antivirus qui n'existe pas comme pour le Mac ,ou de site miroirs vérolés.


REF.: CkilCavepointcomme,

Botnets Butterfly aux 11 millions de PC zombies,êtes-vous du nombres ;0)

HaaaaaaAaaaah !
WinXP,crakia,débarré,adobe,nero,os-X,7,8,.......c'est vous! Naaaaaaaaaa juste ta carte de crédit et ton Ca$h !

Facebook a aidé le FBI à démanteler un botnet aux 11 millions de PC zombies!!!

Sécurité : Le FBI déclare avoir interpellé les auteurs du botnet Butterfly, constitué en infectant 11 millions de machines grâce au ver Yahos. Facebook est remercié par le FBI pour son assistance dans cette opération.

Le FBI a annoncé avoir procédé à l’arrestation de 10 cybercriminels originaires de différents pays, et ce grâce à la collaboration du réseau social Facebook.

Les individus interpellés, notamment en Croatie, en Bosnie-Herzégovine, en Nouvelle-Zélande et aux Etats-Unis, sont accusés d’avoir diffusé le programme malveillant Yahos et conçu le réseau de PC zombies Butterfly afin ensuite de dérober des données sensibles à leurs victimes, principalement des coordonnées bancaires et des numéros de cartes de crédit.

Mais quel a au juste été le rôle de Facebook dans cette affaire ? Yahos a visé les utilisateurs de Facebook de 2010 à octobre 2012. L’équipe sécurité du réseau social a donc fourni une assistance au FBI afin d’identifier les auteurs et les victimes du malware.

D’après le FBI, ce botnet est à l’origine de l’infection de 11 millions d’ordinateurs et aurait généré 850 millions de dollars de préjudice. Un bilan qui paraît cependant surestimé, Zeus lui-même faisant pâle figure en comparaison.

REF.: