Google met des bâtons dans les roues de Glupteba, le plus grand botnet connu à ce jour

08 décembre 2021 à 18h00
3
Google logo neon © Mitchell Luo via Unsplash.com

Google a annoncé avoir réussi à interrompre les activités du botnet Glupteba, même si cet arrêt semble seulement temporaire.

L'entreprise a également décidé de porter plainte contre plusieurs individus basés en Russie et soupçonnés d'être les opérateurs du botnet.

Des opérations coordonnées

Depuis 2011, le malware Glupteba se propage sur les PC Windows et forme désormais l'un des plus grands botnets connus à ce jour. Plus d'un million de PC sous Windows sont sous son contrôle dans le monde entier et jusqu'à un millier d'appareils se rajoutent au réseau chaque jour. Après avoir infecté un appareil, il l'utilise pour miner des cryptomonnaies , voler des identifiants et données à revendre, et déployer des proxies, dont les accès sont vendus par la suite à d'autres cybercriminels. Pour se propager, le malware se cache dans de faux cracks de logiciels sur des sites web ou utilise les réseaux d'affiliation PPI (Pay Per Install).

En enquêtant sur son fonctionnement, Google s'est aperçue que certains de ses services étaient utilisés par les criminels pour distribuer leur malware. Le Threat Analysis Group et le CyberCrime Investigation Group de Google se sont alliés et ont supprimé durant l'année 63 millions de Google Docs qui distribuaient Glupteba, 1 183 comptes Google, 908 projets Google Cloud ainsi que 870 comptes sur Google Ads. À l'aide de partenaires extérieurs, comme CloudFlare, ils ont pu s'employer ces derniers jours à mettre hors service des serveurs appartenant à des acteurs mal intentionnés et à mettre des pages d'avertissement devant les noms de domaine malveillants.

Une interruption seulement temporaire

Grâce à ces actions, l'entreprise pense avoir déstabilisé le fonctionnement et le contrôle exercé par les opérateurs sur le botnet… du moins pendant un temps. Car, pour protéger leur botnet, les criminels ont mis en place un mécanisme de secours basé sur la blockchain . Si leurs serveurs de commande et contrôle ne répondent pas, les systèmes infectés peuvent récupérer des instructions, chiffrées dans des transactions effectuées par les portefeuilles Bitcoin des hackers, pour se reconnecter. Cette façon de faire permettra au botnet de redevenir actif plus rapidement et rend les opérations visant à l'interrompre plus compliquées à effectuer.

Mais Google ne compte pas s'arrêter là. L'entreprise a annoncé avoir déposé une plainte contre 17 individus, dont deux sont explicitement nommés, basés en Russie et soupçonnés d'être les opérateurs du botnet. Elle espère ainsi créer un précédent qui « aidera à dissuader toute activité future ».

Pendant longtemps, on a considéré que les smartphones étaient plus sécurisés que les ordinateurs. Mais les choses ont vite changé et, avec la démocratisation des smartphones, de plus en plus de malwares ont vu le jour et se répandent souvent comme une trainée de poudre. Alors, en 2021, nos téléphones intelligents sont-ils plus ou moins vulnérables que nos ordinateurs ? La réponse dans ces lignes.
Lire la suite

Sources : Engadget , Google

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
3
4
CypElf
Je suis curieux de voir comment fonctionne plus en détail ce mécanisme de base basé sur la blockchain. Les serveurs de commande et contrôle sont communs et assez simples, mais je n’avais jamais entendu parler de ce genre de mécanisme avant
SPH
Pareil que toi. Je n’ai même rien compris à la façon de procéder de ces messieurs…<br /> (et je ne m’en plaint pas)
tfpsly
Des sources, les bots lisent les commentaires de la dernière tractation Bitcoin de certains comptes :<br /> [Engadget] Google coordinated with internet infrastructure providers to disrupt the botnet, but warns it has so far only succeeded in stopping it temporarily. Glupteba uses blockchain technology as a failsafe against a complete shutdown. When it doesn’t hear from its owners, the software is programmed to automatically use data encoded on the Bitcoin blockchain for instructions on how to reconnect.<br /> [Google] The command and control (C2) communication for this botnet uses HTTPS to communicate commands and binary updates between the control servers and infected systems. To add resilience to their infrastructure, the operators have also implemented a backup mechanism using the Bitcoin blockchain. In the event that the main C2 servers do not respond, the infected systems can retrieve backup domains encrypted in the latest transaction from the following bitcoin wallet addresses:<br /> ‹&nbsp;1CgPCp3E9399ZFodMnTSSvaf5TpGiym2N1&nbsp;› [1]<br /> '15y7dskU5TqNHXRtu5wzBpXdY5mT4RZNC6’ [2]<br /> ‹&nbsp;1CUhaTe3AiP9Tdr4B6wedoe9vNsymLiD97&nbsp;› [3]<br />
Voir tous les messages sur le forum

Lectures liées

Arnaques sur les réseaux sociaux : les chiffres 2021 ne sont pas bons du tout (insérez votre numéro de CB ici)
Avec jusqu'à -60% sur ses antivirus, Norton signe une très belle offre !
JO : l'application des Jeux de Pékin consacrée aux athlètes serait-elle un spyware ?
Apple : un correctif de bugs
Bitdefender poursuit son offre soldes d'hiver : ses meilleurs antivirus à -60% !
Binance : peut-on forcer les plateformes à lutter contre la fraude ? Apparemment, non…
Football en streaming : beIN SPORTS obtient le blocage de dizaines de sites illégaux
Pegasus et espionnage des citoyens : le directeur exécutif du groupe NSO démissionne
Craquera ou craquera pas ? Norton propose ses antivirus jusqu'à -60% ?
Bandai Namco ferme les serveurs PVP de Dark Souls en urgence à cause d'une faille de sécurité critique
Haut de page