Après plus de huit années d’enquête, la firme de Redmond et ses partenaires ont réussi à stopper l’un des plus gros botnets du monde.
Un botnet pour ceux qui ne le savent pas est une collection d’appareils connectés à Internet, qui peuvent inclure des PC, des serveurs, des appareils mobiles et des appareils connectés qui sont infectés et contrôlés par un type courant de malware. Necurs en est donc un, mais pas des moindre. Soupçonné d’être exploité par des criminels basés en Russie, il était lié à la tristement célèbre attaque GameOver Zeus de 2014 qui a vu plus de 100 millions de dollars volés sur des comptes bancaires. Fort heureusement, mardi dernier, Microsoft a pris des mesures juridiques et techniques coordonnées pour stopper les actions de Necurs, qui avait infecté plus de neuf millions d’ordinateurs dans le monde.
Huit années d’enquêtes pour arrêter un des botnet les plus prolifiques
Répondant au petit nom de Necurs, le botnet stoppé par Microsoft aurait infecté plus de 9 millions de machines à travers la planète. 8 ans d’enquête et de surveillance ont été nécessaires pour arrêter les criminels derrière ce réseau. L’équipe de Microsoft chargée des crimes numériques ont commencé à observer Necurs à partir de 2012 et l’ont vu distribuer plusieurs types de logiciels malveillants, dont le cheval de Troie bancaire GameOver Zeus.
Pour mener à bien cette opération, Microsoft et j’entends par là son unité de crimes numériques, a collaboré avec la société de cybersécurité BitSight et un certain nombre d’autres partenaires dans 35 pays différents. L’unité de crimes numériques de Microsoft surveille depuis longtemps déjà les actions de ce botnet. Ce dernier se propageait en utilisant la puissance de traitement excédentaire des appareils infectés pour des campagnes de courrier électronique de masse et d’autres activités frauduleuses qui étendent encore la portée du réseau. Il a également été utilisé pour attaquer d’autres ordinateurs sur internet, voler des informations d’identification pour des comptes en ligne, voler des informations et des données confidentielles.
L’action menée par Microsoft a pu avoir lieu après qu’un tribunal de district américain du district oriental de New York ait rendu une ordonnance autorisant Microsoft à prendre des mesures contre Necurs. C’est donc depuis un campus Microsoft étrangement vide que tout s’est joué. Ce campus avait été vidé puis nettoyer en raison de craintes liées au coronavirus. Mais à 7 heures du matin, une petite équipe de travailleurs Microsoft s’y est réunie dans une salle de conférence, a ouvert ses ordinateurs portables et a commencé à coordonner l’action contre Necurs. Microsoft a exécuté cette opération en identifiant l’algorithme utilisé par le botnet pour générer automatiquement de nouveaux domaines web dont il se servait dans le cadre de ses campagnes d’e-mails frauduleux.
Microsoft a également dressé la liste des potentiels domaines vers lesquels l’algorithme du botnet tenterait de s’enregistrer dans les semaines et les mois à venir. Cette liste a ensuite été partagée avec des fournisseurs de services internet du monde entier pour bloquer les tentatives d’enregistrement de domaine et briser la capacité de Necurs à attaquer.
Bien que cette opération puisse être considérée comme étant un succès, Microsoft ne se fait aucune illusion sur le fait d’avoir complètement anéanti Necurs. C’est d’ailleurs ce qu’a déclaré Amy Hogan-Burney, directrice générale de l’unité de crimes numériques de Microsoft et ancienne avocate du FBI : « Nous leur avons juste coupé les bras pour un certain temps ». Il est donc fort probable qu’on ait pas fini d’entendre parler de ce botnet.
Source : developpez, 01net