Google met des bâtons dans les roues de Glupteba, le plus grand botnet connu à ce jour

Fanny Dufour
Publié le 08 décembre 2021 à 18h00
Google logo neon

Google a annoncé avoir réussi à interrompre les activités du botnet Glupteba, même si cet arrêt semble seulement temporaire.

L'entreprise a également décidé de porter plainte contre plusieurs individus basés en Russie et soupçonnés d'être les opérateurs du botnet.

Des opérations coordonnées

Depuis 2011, le malware Glupteba se propage sur les PC Windows et forme désormais l'un des plus grands botnets connus à ce jour. Plus d'un million de PC sous Windows sont sous son contrôle dans le monde entier et jusqu'à un millier d'appareils se rajoutent au réseau chaque jour. Après avoir infecté un appareil, il l'utilise pour miner des cryptomonnaies, voler des identifiants et données à revendre, et déployer des proxies, dont les accès sont vendus par la suite à d'autres cybercriminels. Pour se propager, le malware se cache dans de faux cracks de logiciels sur des sites web ou utilise les réseaux d'affiliation PPI (Pay Per Install).

En enquêtant sur son fonctionnement, Google s'est aperçue que certains de ses services étaient utilisés par les criminels pour distribuer leur malware. Le Threat Analysis Group et le CyberCrime Investigation Group de Google se sont alliés et ont supprimé durant l'année 63 millions de Google Docs qui distribuaient Glupteba, 1 183 comptes Google, 908 projets Google Cloud ainsi que 870 comptes sur Google Ads. À l'aide de partenaires extérieurs, comme CloudFlare, ils ont pu s'employer ces derniers jours à mettre hors service des serveurs appartenant à des acteurs mal intentionnés et à mettre des pages d'avertissement devant les noms de domaine malveillants.

Une interruption seulement temporaire

Grâce à ces actions, l'entreprise pense avoir déstabilisé le fonctionnement et le contrôle exercé par les opérateurs sur le botnet… du moins pendant un temps. Car, pour protéger leur botnet, les criminels ont mis en place un mécanisme de secours basé sur la blockchain. Si leurs serveurs de commande et contrôle ne répondent pas, les systèmes infectés peuvent récupérer des instructions, chiffrées dans des transactions effectuées par les portefeuilles Bitcoin des hackers, pour se reconnecter. Cette façon de faire permettra au botnet de redevenir actif plus rapidement et rend les opérations visant à l'interrompre plus compliquées à effectuer.

Mais Google ne compte pas s'arrêter là. L'entreprise a annoncé avoir déposé une plainte contre 17 individus, dont deux sont explicitement nommés, basés en Russie et soupçonnés d'être les opérateurs du botnet. Elle espère ainsi créer un précédent qui « aidera à dissuader toute activité future ».

Sources : Engadget, Google

Fanny Dufour
Par Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (3)
CypElf

Je suis curieux de voir comment fonctionne plus en détail ce mécanisme de base basé sur la blockchain. Les serveurs de commande et contrôle sont communs et assez simples, mais je n’avais jamais entendu parler de ce genre de mécanisme avant :thinking:

SPH

Pareil que toi. Je n’ai même rien compris à la façon de procéder de ces messieurs…
(et je ne m’en plaint pas) :thinking:

tfpsly

Des sources, les bots lisent les commentaires de la dernière tractation Bitcoin de certains comptes :

[Engadget] Google coordinated with internet infrastructure providers to disrupt the botnet, but warns it has so far only succeeded in stopping it temporarily. Glupteba uses blockchain technology as a failsafe against a complete shutdown. When it doesn’t hear from its owners, the software is programmed to automatically use data encoded on the Bitcoin blockchain for instructions on how to reconnect.

[Google] The command and control (C2) communication for this botnet uses HTTPS to communicate commands and binary updates between the control servers and infected systems. To add resilience to their infrastructure, the operators have also implemented a backup mechanism using the Bitcoin blockchain. In the event that the main C2 servers do not respond, the infected systems can retrieve backup domains encrypted in the latest transaction from the following bitcoin wallet addresses:

‹ 1CgPCp3E9399ZFodMnTSSvaf5TpGiym2N1 › [1]
'15y7dskU5TqNHXRtu5wzBpXdY5mT4RZNC6’ [2]
‹ 1CUhaTe3AiP9Tdr4B6wedoe9vNsymLiD97 › [3]