Google a annoncé ce matin avoir perturbé l’infrastructure de commande et de contrôle de Glupteba, un botnet adossé à la blockchain, utilisé pour cibler des appareils sous Windows.
Le vice-président de Google chargé de la sécurité, Royal Hansen, et la juriste Halimah DeLaine Prado ont annoncé dans un billet de blog mardi que le groupe d’analyse des menaces de la société (Threat Analysis Group, TAG) suivait Glupteba depuis des mois.
Ils ont décidé de prendre des mesures techniques et juridiques contre le groupe.
Une procédure juridique pour entraver les opérateurs
Google a déposé plainte contre le botnet, dans l’espoir de « créer une responsabilité juridique pour les opérateurs du botnet et de contribuer à dissuader toute activité future ».
« Après une enquête approfondie, nous avons déterminé que le botnet Glupteba implique actuellement environ un million d’appareils Windows compromis dans le monde entier, et se développe parfois à un rythme de milliers de nouveaux appareils par jour », écrivent-ils.
« Glupteba est connu pour voler les identifiants et les données des utilisateurs, pour miner des cryptomonnaies sur les hôtes infectés et pour mettre en place des proxys afin de canaliser le trafic internet d’autres personnes via des machines et des routeurs infectés. »
Google note que, bien qu’il a été en mesure de perturber l’infrastructure de commande et de contrôle de Glupteba, ses actions peuvent s’avérer temporaires, compte tenu de « l’architecture sophistiquée du groupe et des actions que ses organisateurs ont prises pour maintenir le botnet, mettre à l’échelle ses opérations et mener des activités criminelles à grande échelle ».
Ils estiment que l’action en justice contribuera à compliquer les actions futures des opérateurs du botnet. L’action en justice cite directement Dmitry Starovikov et Alexander Filippov parmi les opérateurs, mais note que d’autres acteurs inconnus sont impliqués.
L’action en justice a été initiée à New York, et les deux personnes citées sont poursuivies pour fraude et abus informatiques, violation de marque déposée, et plus encore. Google a également demandé une ordonnance restrictive temporaire, dans le but de « créer une véritable responsabilité juridique pour les opérateurs » du botnet.
Des milliers de téléchargements par jour
Mais Google rappelle également que l’utilisation par le groupe de la technologie blockchain a rendu le botnet plus résilient. Il ajoute que davantage d’organisations cybercriminelles profitent de la technologie blockchain, qui permet aux botnets de se rétablir plus rapidement en raison de leur nature décentralisée.
Shane Huntley et Luca Nagy, membres du groupe d’analyse des menaces de Google, ont expliqué dans un billet de blog que Glupteba est connu pour voler les identifiants et mots de passe des utilisateurs et les cookies, miner des cryptomonnaies sur les hôtes infectés, déployer et exploiter des composants proxy ciblant les systèmes Windows et les objets connectés.
« Le TAG a observé le botnet, qui cible des victimes dans le monde entier, et notamment aux Etats-Unis, en Inde, au Brésil, au Vietnam et en Asie du Sud-Est. La famille de logiciels malveillants Glupteba est principalement distribuée par le biais de réseaux de paiement par installation (PPI) et via le trafic acheté auprès de systèmes de distribution de trafic (TDS) », explique l’équipe de Google.
« Pendant un certain temps, nous avons observé des milliers d’instances de téléchargements malveillants de Glupteba par jour. L’image suivante montre une page web imitant la page de téléchargement d’un crack logiciel qui délivre une variante de Glupteba aux utilisateurs au lieu du logiciel promis. »
L’équipe TAG et d’autres employés de Google ont bloqué environ 63 millions de Google Docs ayant distribué Glupteba, 1 183 comptes Google, 908 projets Google Cloud et 870 comptes Google Ads associés à la distribution de ce malware. Environ 3,5 millions d’utilisateurs ont été alertés avant de télécharger un fichier malveillant grâce à Google Safe Browsing, selon Shane Huntley et Luca Nagy.
Le botnet s’appuie sur la blockchain
Les chercheurs ont également indiqué avoir travaillé avec CloudFlare sur les efforts de perturbation. Dans le cadre de son enquête, Google a utilisé les produits et services d’investigation Chainalysis pour enquêter sur le botnet.
Erin Plante, directrice principale des services d’enquête de Chainalysis, explique à ZDNet que le botnet a deux principaux liens avec les cryptomonnaies : le recours au cryptojacking, et une tactique nouvelle visant à complexifier les opérations de démantèlement.
Selon elle, Glupteba utilise également la blockchain Bitcoin pour encoder les serveurs de commande et de contrôle (C2) mis à jour dans les champs Op_Returns des transactions enregistrées sur la blockchain. Cela signifie que chaque fois que l’un des serveurs C2 de Glupteba est fermé, il suffit aux ordinateurs infectés de scanner la blockchain pour trouver la nouvelle adresse de domaine du serveur C2, qui est ensuite dissimulée parmi les centaines de milliers de transactions Bitcoin quotidiennes dans le monde.
La plupart des techniques de démantèlement de botnets impliquent la désactivation des domaines de serveurs C2, ce qui rend cette tactique particulièrement difficile à contrer. Erin Plante indique qu’il s’agit du premier cas connu d’un botnet utilisant cette approche. La société Akamai avait pourtant détaillé une variante de cette technique en février 2021, qui exploitait déjà la blockchain pour récupérer les adresses IP des serveurs de contrôle du botnet.
Erin Plante ajoute que l’enquête a révélé des transactions de cryptomonnaies provenant de Federation Tower East, un immeuble de bureaux de luxe situé à Moscou qui abrite le siège de nombreuses entreprises de cryptomonnaies connues pour blanchir des fonds criminels.
Source : ZDNet.com
