Après plus de quatre ans d’enquête, la police de Lüneburg (Allemagne), le FBI, le département US de la justice (DOJ), Europol, Eurojust et d’autres partenaires dans le monde ont pu mettre fin à l’activité d’une plateforme internationale d’opérations cybercriminelles baptisée Avalanche. Avalanche est un réseau de bots responsable de nombreuses campagnes de phishing dans le monde entier et d’une vingtaine de familles de malware depuis 2009.
Mode d’opération du botnet Avalanche
La Fondation Shadowserver, une organisation à but non lucratif de professionnels de la sécurité qui a participé à l'opération décrit Avalanche comme un botnet fast flux double. Le fast flux est une technique utilisée pour dissimuler des sites d'hameçonnage (phishing) et de disséminateurs de logiciels malveillants. Le fast flux utilise les caractéristiques techniques du protocole DNS, permettant d'attribuer à un même nom de domaine de nombreuses adresses IP. Sa mise en œuvre nécessite en général l'utilisation de botnets.
Cette technique se base sur le fait qu'il est possible de configurer un DNS pour qu'il change d'adresse IP très régulièrement. Les adresses IP vers lesquelles pointe le DNS sont généralement des machines compromises. Ces dernières redirigent les requêtes vers le serveur réel, appelé « mothership », en fonctionnant comme des proxys inverses. Ce qui permet donc de rendre difficile l'identification du serveur mothership, tout en conservant une robustesse face à la perte de machines compromises. En d'autres termes, la technique du fast flux permet la dissimulation de l'IP du mothership par un ensemble de machines compromises agissant comme des proxys inverses. Lorsqu'un internaute fait une demande de résolution de l'IP d'un nom de domaine, il passera par un proxy qui lui cachera donc l'adresse du mothership.
Cette technique se présente sous deux variantes : le fast flux simple et le fast flux double. Avec le fast flux simple, il suffit de couper le serveur DNS résolvant le nom de domaine pour que le mothership ne soit plus du tout accessible. Ce qui est beaucoup plus difficile avec le fast flux double sur lequel repose Avalanche.
En 2010 déjà, un rapport du groupe de travail Anti-Phishing a qualifié Avalanche de « gang de phishing le plus prolifique au monde », notant que le botnet Avalanche était responsable des deux tiers de toutes les attaques de phishing enregistrées au second semestre 2009. Pendant ce temps, il avait ciblé plus de 40 grandes institutions financières, des services en ligne et des sites d'emploi. Avalanche est également associé au botnet de fraude financière Zeus et en fin 2009, le réseau utilisait déjà plus de 950 domaines distincts pour ses campagnes de phishing. Il était à plus de 800 000 domaines au moment de son démantèlement cette semaine.
Dans les campagnes de phishing, les messages envoyés par les bots d'Avalanche étaient en général des courriels falsifiés d'institutions financières. En 2010, le réseau d’opérations cybercriminelles s’est tourné vers la diffusion de logiciels malveillants, réduisant ainsi ses campagnes de phishing. Avalanche a propagé une variété de crimeware, dont des malwares de type policier. Le mode d’opération de ces derniers consiste à envoyer un message censé venir de la police à des cibles sous prétexte qu’elles sont responsables de distribution de pornographie illégale. Le système de la victime est ensuite bloqué jusqu’au paiement d’une amende.
Symantec, qui a également été associé à l’opération, ajoute que l’infrastructure d’Avalanche a été utilisée par un cheval de Troie bancaire appelé Bebloh qui ciblait les germanophones. Mais de nombreuses autres familles de malware ont été également liées au réseau. Une vingtaine de familles de malwares auraient été diffusées par la plateforme Avalanche.
Opération de démantèlement
Pour mettre fin à l’opération du botnet qui a compromis des centaines de milliers d’ordinateurs dans le monde entier, la coopération internationale sur l’enquête a mis en place une infrastructure de sinkholing. « L'opération marque la plus grande utilisation jamais faite de sinkholing pour combattre les infrastructures de botnet », explique Europol dans un communiqué.
Le sinkholing est une technique par laquelle le trafic entre les ordinateurs infectés et une infrastructure criminelle est redirigé vers des serveurs contrôlés par les autorités d'application de la loi ou une société de sécurité informatique. Cela peut être fait en identifiant au préalable les domaines contrôlés par les criminels. Lorsque tous les domaines sont identifiés, la réorientation de leur trafic permet de garantir que les ordinateurs infectés ne puissent plus atteindre les systèmes de commande et de contrôle des criminels et qu’ainsi ces derniers ne puissent plus contrôler les ordinateurs compromis.
Avalanche a causé environ 6 millions d'euros de dommages dans des cyberattaques concentrées sur les systèmes bancaires en ligne en Allemagne seulement. Et d’après le DOJ et le FBI, « les pertes financières associées aux attaques de logiciels malveillants effectuées sur le réseau Avalanche sont estimées à des centaines de millions de dollars dans le monde, même si les calculs exacts sont difficiles en raison du nombre élevé de familles de malware présents sur le réseau ». L'opération a impliqué des arrestations et des perquisitions dans certains pays et les victimes de malwares ont été identifiées dans plus de 180 pays.
Si ces dernières sont maintenant protégées contre l'exploitation directe de leurs machines par le groupe de criminels derrière Avalanche, elles restent toutefois infectées par une ou plusieurs familles de logiciels malveillants et susceptibles d'être vulnérables à d'autres. Les organismes d’application de la loi ont donc travaillé avec des firmes de sécurité pour mettre en place des solutions pour protéger les utilisateurs.
Sources : The Shadowserver Foundation, Europol, Symantec, Eurojust
Et vous ?
Qu’en pensez-vous ?
Voir aussi :
Norton dévoile les villes et pays qui concentrent le plus de botnets dans la région EMEA, la France et Paris peuplés de zombies ?
OVH victime de la plus violente attaque DDoS jamais enregistrée par un botnet de caméras connectées qui n'étaient pas sécurisées
Une variante du malware Mirai met hors service des routeurs de Deutsche Telekom, environ 900 000 clients de l'opérateur allemand ont été affectés
Avalanche, un botnet responsable de campagnes de phishing et d'une vingtaine de familles de malware,
Démantelé dans une opération internationale
Avalanche, un botnet responsable de campagnes de phishing et d'une vingtaine de familles de malware,
Démantelé dans une opération internationale
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !