Microsoft poursuit la lutte contre les réseaux de zombies

La court du district de Virginie occidentale a confirmé la demande de Microsoft qui souhaitait prendre le contrôle du domaine .org associé aux activités malveillantes. Cette autorisation est limitée dans le temps.

A l’origine de cette demande, la présence dans le domaine 3322.org, appartenant à une société chinoise, du serveur de commande de Nitol, un réseau de zombies tombé dans le collimateur de MS. Dans le cadre d’une analyse des canaux de livraison sur le marché chinois, les experts ont réalisé des achats de contrôle et ont découvert le bot Nitol installé sur des ordinateurs avec des versions pirates de Windows. 20 % des machines achetées par les réviseurs en Chine étaient infectées. La chaîne logistique comprend de nombreux maillons, dont les transporteurs, les distributeurs et les revendeurs. En l’absence de politiques adéquates et de contrôles stricts chez les sous-traitants, le programme malveillant peut être introduit à n’importe quelle étape.

L’étude de Nitol en tant que menace menée par Microsoft sous le nom de code « opération b70 » a démontré que le centre de commande du réseau de zombies se trouve dans la zone domaine 3322.org, connue depuis longtemps comme un refuge de cybercriminels. Outre Nitol, doté d’une fonction DDoS, les experts ont découvert dans cet espace 500 autres programmes malveillants répartis entre 70 000 sous-domaines. Le domaine 3322.org a été enregistré par une société chinoise et est utilisé avec un service de DNS dynamique (DDNS) gratuit. Ce genre de service est très apprécié des organisateurs de cyberattaques car il permet de préserver la tête de pont en changeant rapidement les informations sur le serveur DNS.

Selon la décision du tribunal, l’opérateur du registre du domaine ORG, basé aux Etats-Unis, devra rediriger tout le trafic DNS de 3322.org vers les serveurs Microsoft. Microsoft pourra ainsi bloquer les requêtes de Nitol et d’autres programmes malveillants qui fonctionnent sur les sous-domaines « sains ». La société Nominum, société de sécurité qui intervient également comme plaignante, va aider Microsoft à filtrer le nouveau trafic DNS. Les procédures contre le propriétaire de 3322.org et sa société sont toujours en cours et les experts espèrent que le tribunal de Virginie finira par imposer une interdiction définitive sur l’utilisation illégale de ce domaine et que les responsables devront répondre de leurs actes.

Malheureusement, la saisie du domaine 3322.org ne va pas arrêter les propriétaires des bots. Comme le remarquent justement les experts de la lutte contre les réseaux de zombies de chez Damballa, les opérateurs de ces programmes placent leurs domaines de commande chez divers fournisseurs DNS. Et Nitol, qui n’est qu’un petit réseau de zombies pas très actif, utilise une multitude de noms de domaines répartis entre plusieurs services DDNS. 3322.org compte près de 70 clients de ce genre et d’après les données de Damballa, leur infrastructure de commande recouvre plus de 400 sous-domaines de cette zone.

Sources :

Microsoft

krebsonsecurity.com

Damballa

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *