Microsoft et ses partenaires lancent une offensive contre ZeroAccess

Dans la poursuite de la croisade contre les réseaux de zombies, Microsoft, les autorités judiciaires et policières et des experts en sécurité informatique ont tenté de neutraliser un réseau tristement célèbre construit sur la base de ZeroAccess.

ZeroAccess ou Sirefef, comme le dénomme Microsoft, est une plateforme logicielle qui attaque les navigateurs et les moteurs de recherche les plus utilisés. La principale fonction de ZeroAccess est le remplacement des résultats de la recherche afin d'amener les utilisateurs vers des sites qui conviennent aux responsables du bot et d'augmenter le nombre de clics. De plus, il peut être une source de revenus directs pour ses propriétaires en installant des extracteurs de bitcoins sur les ordinateurs des victimes. D'après les estimations les plus récentes, le réseau de zombies ZeroAccess compterait plus de 2 millions d'ordinateurs infectés qui entraîneraient près de 3 millions de dollars de pertes chaque mois pour les régies publicitaires.

En 2010, il était toujours possible de neutraliser de nombreux réseaux de zombies en appliquant la technique du sinkhole (remplacement) au serveur de commande, ce qui mettait un terme à l'activité malveillante. Ceci explique pourquoi les administrateurs de bots d'aujourd'hui préfèrent mettre sur pied des réseaux p2p. Grâce à l'architecture distribuée, les opérateurs de ZeroAccess peuvent administrer un réseau composé de dizaines de milliers d'ordinateurs infectés répartis à travers le monde. Dans ce contexte, le programme malveillant actualise chaque seconde la liste des pairs. De plus, pour échanger les listes, différentes versions utilisent différents protocoles, ce qui complique sensiblement la prise de commande d'un tel réseau.

Outre Microsoft, l'opération contre ZeroAccess a compté sur la participation du Centre européen de lutte contre la cybercriminalité (EC3) sous contrôle d'Europol, du FBI et de la société américaine A10 Networks spécialisée dans la protection et l'optimisation des applications Web. Microsoft a déposé plainte au civil contre les administrateurs du bot et elle a obtenu du tribunal l'autorisation de bloquer le trafic entrant et sortant échangé par les ordinateurs locaux infectés avec 18 adresses IP identifiées lors de l'enquête. Le tribunal a également autorisé la saisie de 49 domaines associés à ZeroAccess.

De son côté, Europol s'est chargé du blocage des 18 adresses IP contactées par les bots américains. Des perquisitions ayant débouché sur la saisie de serveurs associés à ces adresses ont été menées en Allemagne, en Lettonie, au Luxembourg, en Suisse et aux Pays-Bas.

Microsoft et ses partenaires ont précisé qu'ils n'avaient cherché à en finir une fois pour toute avec ZeroAccess. Ils espèrent toutefois que les mesures légales et techniques adoptées permettront de déstabiliser sérieusement le fonctionnement du réseau de zombies, d'interrompre l'activité malveillante sur les ordinateurs infectés et qu'elles obligeront les administrateurs du bot à réaliser des travaux de restauration.

http://threatpost.com/microsoft-and-friends-take-down-zeroaccess-botnet/103122

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *