Un réseau de zombies Linux exploité par des spammeurs a été mis hors d’état de nuire

Comme nous l’apprend Softpedia, une opération conjointe d’ESET, de CyS Centrum LLC et de la brigade de lutte contre la cybercriminalité de la police ukrainienne contre le réseau de zombies de spam Mumblehard s’est soldée sur une victoire. A la fin du mois de février de cette année, les experts en sécurité de l’information ont réussi à substituer le serveur de commande d’un réseau de zombies à l’aide de la technique du sinkhole ; à partir de ce moment, ESET a comptabilisé près de 4 000 bots répartis à travers le monde qui tentaient de se connecter à leur centre de commande.

D’après ESET, le réseau de zombies Mumblehard comptait plusieurs milliers d’ordinateurs et avait été mis en place sur des serveurs Linux et BSD depuis au moins 2009. Le malware à la base de ce réseau de zombies compte deux composants : une backdoor pour la réception des commandes du serveur et un daemon pour la diffusion du spam via une version piratée de DirectMailer de Yellsoft.

L’analyse la plus récente a indiqué que les exploitants de Mumblehard ont réalisé l’infection via un shell PHP déjà installé, autrement dit, ils ont simplement acheté l’accès à des serveurs compromis. Il est intéressant de constater que dans un effort de conserver leurs capacités, les opérateurs des bots ont exploité un script particulier qui leur permet de maintenir la réputation des hôtes infectés : ce script vérifiait automatiquement si les adresses IP figuraient dans les listes noires de Spamhaus et quand il détectait une correspondance, il envoyait à l’organisation à but non lucratif une demande de restauration de son nom. Les individus malintentionnés avaient contourné le mécanisme de saisie de CAPTCHA censé empêcher l’envoi automatique de telles demandes via un système de reconnaissance optique des images et l’utilisation d’un service tiers.

Il y a un et demi, ESET avait réussi à introduire un serveur de commande de substitution dans le réseau de zombies et avait pu ainsi se rendre compte de l’ampleur de la campagne. Au cours de 7 mois de surveillance, les enquêteurs avaient comptabilisé près de 8 900 adresses IP uniques appartenant au réseau de zombies. Les résultats de l’enquête ont été publiés en avril de l’année dernière. Cette publication a poussé les individus malintentionnés à modifier le code malveillant mais, dans leur poursuite de la perfection, ils ont commis une erreur qui allait leur être fatale : ils ont réduit le nombre de serveurs de commande à un seul, en Ukraine.

Ce point faible a été rapidement identifié et ESET a signalé cette découverte aux autorités ukrainiennes et avec l’aide de celles-ci, ESET a pu prendre les commandes de Mumblehard, qui avait déjà perdu de sa superbe, mais qui était toujours présent malgré tout dans 63 pays.

Les données récoltées via la technique du sinkhole sont d’ores et déjà exploitées pour nettoyer les ressources infectées. La prise de contact avec les victimes a pu compter sur la participation active du CERT Allemagne (CERT-Bund) ; les recommandations sur la détection et l’élimination de l’infection, ainsi qu’une liste d’outils utiles, figurent sur le site de l’ESET.

Fonte: Softpedia

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *