Conjointement avec une équipe d’experts en sécurité, Microsoft a démantelé le botnet international Necurs. Avec quelque neuf millions d’ordinateurs infectés, ce dernier serait l’un des plus importants botnets au monde.
Necurs a été exploité pour une série d’activités criminelles, dont le vol d’informations personnelles, la diffusion de maliciels (malware), l’exécution d’attaques DDoS et d’escroqueries avec, notamment, de faux mails pharmaceutiques et des propositions de jeunes filles russes à marier. Son démantèlement a nécessité une opération qui a duré huit ans et qui a vu des partenaires de 35 pays collaborer. Il s’agit en l’occurrence de firmes de sécurité, de fournisseurs internet et de services de police.
Necurs s’est manifesté pour la première fois en 2012. On soupçonne qu’il soit sous contrôle russe. Le botnet se composait de quelque neuf millions d’ordinateurs zombies, à savoir des appareils infectés par du malware et pouvant dès lors être télécommandés. Necurs ‘pilotait’ ces ordinateurs à partir de sites web générés via un algorithme de noms de domaine, ce qui compliquait l’isolation du botnet de la source. Les noms de domaine étaient enregistrés des semaines, voire des mois à l’avance, alors que sur les sites sous-jacents, le botnet faisait tourner ses serveurs ‘command-and-control’ expédiant les instructions aux ordinateurs contaminés.
Chez Microsoft, on déclare à présent qu’on a pu ‘craquer’ l’algorithme de Necurs et prévoir ainsi quels noms de domaine allaient être utilisés durant les prochains mois. “Nous pouvions prévoir avec précision plus de six millions de noms de domaine uniques, qui seraient créés au cours de 25 mois suivants”, précise Burt dans un communiqué posté sur son blog à propos de l’opération. Ces noms de domaine ont alors été bloqués. La Justice donna aussi à l’entreprise le contrôle sur les domaines Necurs existants hébergés aux Etats-Unis. “En reprenant des sites web existants et en limitant la possibilité d’enregistrer de nouveaux domaines, nous avons sensiblement perturbé le botnet”, ajoute Burt.
En s’emparant de l’infrastructure Necurs existante, Microsoft est aussi capable de cartographier les bots disséminés dans le monde. L’entreprise entend à présent collaborer avec des fournisseurs internet et des services gouvernementaux pour informer les utilisateurs ciblés à propos de leur système infecté, afin qu’ils puissent en supprimer le malware. Un rapport complet sur l’infrastructure Necurs se trouve sur Bitsight, qui a aussi collaboré à l’opération.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici