Microsoft combat un groupe de cybercriminels russe en exigeant en Justice la suppression de noms de domaine utilisés par ce dernier pour envoyer des maliciels (malware). Entre-temps, Microsoft aurait déjà mis hors ligne quelque septante noms de domaine de serveurs Command and Control (C&C).
Voilà ce qu’annonce The Daily Beast. Les serveurs C&C sont des machines avec lesquelles des cybercriminels expédient du malware vers les systèmes de victimes. Ces serveurs sont entre autres exploités pour lancer des attaques Distributed Denial of Service (DDoS), par lesquelles un grand nombre de systèmes contaminés par du maliciel envoient une énorme quantité de requêtes à un serveur spécifique. Celui-ci est alors submergé et n’est plus capable de traiter les demandes d’utilisateurs légitimes, ce qui le rend en fin de compte inaccessible.
Fancy Bear
Les noms de domaine en question sont utilisés, selon The Daily Beast, par le groupe de cybercriminels Fancy Bear, que des cyber-experts lient à la Russie. Microsoft entend lutter contre ce groupe en mettant hors ligne ses noms de domaine et en veillant ainsi à ce qu’il ne puisse plus accéder à une partie des systèmes contaminés par son malware.
Les septante noms de domaine en question enfreignent tous les marques de Microsoft. Tel est par exemple le cas de livemicrosoft.net et rsshotmail.com. Les noms de domaine renvoient au propre site web de Microsoft. Cela permet à l’entreprise de détecter le trafic vers les serveurs C&C et de ce fait de découvrir les victimes de Fancy Bear. Celles-ci sont ensuite prévenues par leur fournisseur internet.
Solution permanente
Vendredi dernier, Microsoft a, dans le cadre d’une audition, demandé la désignation d’un contrôleur permanent en vue de rapidement hors ligne les domaines en infraction. En outre, Microsoft veut mettre la main sur quelque 9.000 noms de domaines susceptibles d’être abusés à l’avenir par des cybercriminels.
Par ailleurs, la façon de faire de Microsoft n’impacte pas tout le malware de Fancy Bear. C’est ainsi que certains maliciels se connecteraient à des serveurs C&C au moyen d’adresses IP plutôt qu’avec des noms de domaine. Dans ce cas, l’action entreprise par Microsoft n’exerce aucune influence sur ce malware.
En collaboration avec Dutch IT-Channel.
