Symantec a anéanti un segment important de ZeroAccess

Les experts de Symantec ont éclairci les rangs de ZeroAccess en isolant un quart des participants au réseau de zombies P2P le plus grand grâce à la technique du sinkholing (remplacement des participants au réseau). D'après les estimations de la société, ZeroAccess comptait en août dernier près de 1,9 millions d'ordinateurs infectés.

C'est au printemps que Symantec a commencé à planifier l'opération contre ZeroAccess. Au début, les autorités judiciaires et policières allaient participer également à l'opération, mais vers la fin du mois de juin, les responsables du bot ont commencé à diffuser des mises à jour qui éliminaient les vulnérabilités exploitées par le sinkholing et Symantec fut obligée d'avancer l'interception.

Comme le démontre la pratique, les réseaux de zombies P2P sont dotés d'une meilleure capacité de survie car ils ne disposent pas de centres de commandes dédiés qui pourraient être mis hors service un à un. Ce genre de réseau de zombies utilise des protocoles personnalisés pour le transfert des données et il applique également un chiffrement. Après avoir étudié les mécanismes et les faiblesses de leur cible, les experts ont commencé à charger sur le réseau de zombies de nouveaux pairs dotés de faux enregistrements et d'horodatages récents. D'après les données de Symantec, l'interception de chaque bot aura duré en moyenne 5 minutes. A l'issue de cette opération, les experts ont réussi à réorienter ou à complètement isoler plus de 500 000 membres actifs du réseau de zombies.

Cette opération visait également à tester la fonctionnalité principale de ZeroAccess. Ce programme malveillant intervient principalement dans l'augmentation artificielle du nombre de clics dans le cadre de programmes de promotion de paiement au clic ou dans l'installation de mineurs de Bitcoins. Les bots testés produisaient près de 257 Mo de trafic par heure (6,1 Go par jour) et réalisaient un peu plus de 40 faux clics (soit, près de 1 000 par jour). Selon les estimations des experts, cette productivité permet d'évaluer les revenus annuels des responsables du réseaux de zombies à plusieurs millions de dollars.

Le vol de la puissance de traitement des ordinateurs dans le but de produire des Bitcoins à l'aide du réseau de zombies ZeroAccess peut entraîner, selon les calculs de Symantec, une consommation supplémentaire de 3,5 millions de Kilowatts/heures qui devront être payés par les victimes de l'infection. Un tel montant est possible si tous les bots se consacrent à l'extraction de bitcoins 24 heures par jour. D'après les experts, le profil aussi étroit de ZeroAccess peut le rendre difficilement rentable : malgré les dépenses colossales en énergie, l'activité n'apporterait qu'un peu plus de 2 000 dollars par jours aux opérateurs du réseau.

Malheureusement, pour les responsables d'un réseau de zombies, la neutralisation partielle du réseau de zombies n'est en général qu'un léger contre-temps, même si l'effet se fait sentir. Ceci étant dit, les experts de Symantec espèrent que ce coup sera mortel pour ZeroAccess. Vikram Thakur, responsable du groupe de réactions aux incidents de sécurité informatique chez Symantec a déclaré : "Nous savons que les autorités judiciaires et policières vont contrôler la situation. Pour cette raison, nous espérons que les responsables ne se remettront pas du coup porté."

D'après les données de Symantec, les opérateurs de ZeroAccess sont originaires d'Europe de l'Est et il pourrait s'agir de Russes ou d'Ukrainiens. 70 à 80 % des participants au réseau de zombies sont des ordinateurs de particuliers. Les experts ont déjà commencé à contacter les FAI à l'étranger et les CERT respectifs afin de réaliser les opérations de nettoyage.

Source :
http://www.darkreading.com/attacks-breaches/symantec-sinkholes-chunk-of-massive-clic/240162016

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *