Google a annoncé ce matin avoir perturbé l'infrastructure de commande
et de contrôle de Glupteba, un botnet adossé à la blockchain, utilisé
pour cibler des appareils sous Windows.
Le vice-président de Google chargé de la sécurité, Royal Hansen, et la juriste Halimah DeLaine Prado ont annoncé dans un billet de blog mardi que le groupe d'analyse des menaces de la société (Threat Analysis Group, TAG) suivait Glupteba depuis des mois.
Ils ont décidé de prendre des mesures techniques et juridiques contre le groupe.
Une procédure juridique pour entraver les opérateurs
Google a déposé plainte
contre le botnet, dans l'espoir de « créer une responsabilité juridique
pour les opérateurs du botnet et de contribuer à dissuader toute
activité future ».
« Après une enquête approfondie, nous avons déterminé que le botnet
Glupteba implique actuellement environ un million d'appareils Windows
compromis dans le monde entier, et se développe parfois à un rythme de
milliers de nouveaux appareils par jour », écrivent-ils.
« Glupteba est connu pour voler les identifiants et les données des
utilisateurs, pour miner des cryptomonnaies sur les hôtes infectés et
pour mettre en place des proxys afin de canaliser le trafic internet
d'autres personnes via des machines et des routeurs infectés. »
Google note que, bien qu'il a été en mesure de perturber
l'infrastructure de commande et de contrôle de Glupteba, ses actions
peuvent s'avérer temporaires, compte tenu de « l'architecture
sophistiquée du groupe et des actions que ses organisateurs ont prises
pour maintenir le botnet, mettre à l'échelle ses opérations et mener des
activités criminelles à grande échelle ».
Ils estiment que l'action en justice contribuera à compliquer les
actions futures des opérateurs du botnet. L'action en justice cite
directement Dmitry Starovikov et Alexander Filippov parmi les
opérateurs, mais note que d'autres acteurs inconnus sont impliqués.
L'action en justice a été initiée à New York, et les deux personnes
citées sont poursuivies pour fraude et abus informatiques, violation de
marque déposée, et plus encore. Google a également demandé une
ordonnance restrictive temporaire, dans le but de « créer une véritable
responsabilité juridique pour les opérateurs » du botnet.
Des milliers de téléchargements par jour
Mais Google rappelle également que l'utilisation par le groupe de la
technologie blockchain a rendu le botnet plus résilient. Il ajoute que
davantage d'organisations cybercriminelles profitent de la technologie
blockchain, qui permet aux botnets de se rétablir plus rapidement en
raison de leur nature décentralisée.
Shane Huntley et Luca Nagy, membres du groupe d'analyse des menaces
de Google, ont expliqué dans un billet de blog que Glupteba est connu
pour voler les identifiants et mots de passe des utilisateurs et les
cookies, miner des cryptomonnaies sur les hôtes infectés, déployer et
exploiter des composants proxy ciblant les systèmes Windows et les
objets connectés.
« Le TAG a observé le botnet, qui cible des victimes dans le monde
entier, et notamment aux Etats-Unis, en Inde, au Brésil, au Vietnam et
en Asie du Sud-Est. La famille de logiciels malveillants Glupteba est
principalement distribuée par le biais de réseaux de paiement par
installation (PPI) et via le trafic acheté auprès de systèmes de
distribution de trafic (TDS) », explique l'équipe de Google.
« Pendant un certain temps, nous avons observé des milliers
d'instances de téléchargements malveillants de Glupteba par jour.
L'image suivante montre une page web imitant la page de téléchargement
d'un crack logiciel qui délivre une variante de Glupteba aux
utilisateurs au lieu du logiciel promis. »
L'équipe TAG et d'autres employés de Google ont bloqué environ
63 millions de Google Docs ayant distribué Glupteba, 1 183 comptes
Google, 908 projets Google Cloud et 870 comptes Google Ads associés à la
distribution de ce malware. Environ 3,5 millions d'utilisateurs ont été
alertés avant de télécharger un fichier malveillant grâce à Google Safe
Browsing, selon Shane Huntley et Luca Nagy.
Le botnet s'appuie sur la blockchain
Les chercheurs ont également indiqué avoir travaillé avec CloudFlare
sur les efforts de perturbation. Dans le cadre de son enquête, Google a
utilisé les produits et services d'investigation Chainalysis pour
enquêter sur le botnet.
Erin Plante, directrice principale des services d'enquête de
Chainalysis, explique à ZDNet que le botnet a deux principaux liens avec
les cryptomonnaies : le recours au cryptojacking, et une tactique
nouvelle visant à complexifier les opérations de démantèlement.
Selon elle, Glupteba utilise également la blockchain Bitcoin pour
encoder les serveurs de commande et de contrôle (C2) mis à jour dans les
champs Op_Returns des transactions enregistrées sur la blockchain. Cela
signifie que chaque fois que l'un des serveurs C2 de Glupteba est
fermé, il suffit aux ordinateurs infectés de scanner la blockchain pour
trouver la nouvelle adresse de domaine du serveur C2, qui est ensuite
dissimulée parmi les centaines de milliers de transactions Bitcoin
quotidiennes dans le monde.
La plupart des techniques de démantèlement de botnets impliquent la
désactivation des domaines de serveurs C2, ce qui rend cette tactique
particulièrement difficile à contrer. Erin Plante indique qu'il s'agit
du premier cas connu d'un botnet utilisant cette approche. La société
Akamai avait pourtant détaillé une variante de cette technique en février 2021, qui exploitait déjà la blockchain pour récupérer les adresses IP des serveurs de contrôle du botnet.
Erin Plante ajoute que l'enquête a révélé des transactions de cryptomonnaies provenant de Federation Tower East, un immeuble de bureaux de luxe situé à Moscou qui abrite le siège de nombreuses entreprises de cryptomonnaies connues pour blanchir des fonds criminels.
Source : ZDNet.com
REF.: https://www.zdnet.fr/actualites/google-s-attaque-au-botnet-blockchain-glupteba-39933793.htm?utm_source=NL_cybersecurite&utm_medium=email&utm_campaign=ZD_NL_cybersecurite&utm_content=&utm_term=20211220
