Publié par UnderNews Actu - Télécharger l'application Android

Le 25 octobre 2010, la Dutch High Tech Crime Unit du KLPD a annoncé avoir procédé au démantèlement du botnet Bredolab.

La police néerlandaise a saisi 143 serveurs sur lesquels reposait le botnet Bredolab. Ceux-ci constituaient le centre de commande et de contrôle (C&C) du réseau de zombies, et étaient hébergés sur le réseau de LeaseWeb, le plus gros hébergeur du pays. Dans le même temps, la police arménienne a arrêté le botmaster Georgiy Avanesov, âgé de 27 ans, dans l’aéroport international arménien de Zvartnots.

Eddy Willems, Security Evangelist chez G Data Software AG livre une analyse de ce botnet.

Bredolab était un botnet similaire à Zeus : le malware permettait à son propriétaire de dérober des couples d’identifiants/mot de passe, de placer un keylogger sur un système compromis et même d’y voler certaines données. Le botnet était aussi loué à d’autres cyberpirates afin de leur permettre de réaliser d’autres méfaits. À la fin de l’année dernière (2009), on estimait que 3,6 milliards de pourriels étaient envoyés par jour et contenaient le logiciel malveillant Bredolab, permettant ainsi à l’opérateur du botnet d’infecter 3 millions de systèmes par mois. Selon certaines sources, le botnet serait actuellement constitué de 29 millions de “zombies”, répartis partout dans le monde (Italie, Espagne, Afrique du Sud, États-Unis, Royaume-Uni…).

HMA Pro VPN

L’équipe néerlandaise en charge de la “récupération” du botnet était constituée de plusieurs acteurs nationaux (la police, LeaseWeb, le Dutch Forensic Institute (NFI), Fox-IT une société spécialisée dans la sécurité et enfin le GOVCERT) ayant démontré à cette occasion une forte coopération entre eux. Cette équipe a pris le contrôle des zombies et les a associés à un nouveau C&C sous son contrôle pour empêcher le pirate arménien de reprendre leur contrôle en les dirigeant vers un autre C&C. Afin de réaliser cela, l’équipe a utilisé et installé un “gentil” malware pour détourner les systèmes compromis. Cette technique particulière avait déjà été utilisée auparavant par la police néerlandaise dans le cadre d’affaires similaires. Celle-ci reste néanmoins “douteuse” d’un point de vue légal. En effet, la prise de contrôle d’un PC à distance (aussi bien par un “gentil” bot que par un “mauvais”, et cela pour une raison “légitime” ou non) est souvent interdite dans la plupart des pays.

Après cela, les utilisateurs ouvrant un navigateur Internet étaient redirigés vers la page suivante : http://teamhightechcrime.nationale-…

Cette page aurait déjà été affichée sur 100 000 systèmes distincts. Elle présente des explications pour se protéger et désinfecter son PC du malware Bredolab. Parallèlement, une autre page a été mise en place afin de permettre aux victimes du botmaster de déposer une plainte. Déjà 55 dépôts ont été enregistrés.

Lorsque le pirate a découvert la tentative de prise de contrôle de son botnet, il a tenté de contrer l’attaque de son adversaire en réalisant une attaque en déni de service sur le nouveau C&C de la police à partir de 220 000 PC toujours sous son contrôle.

D’après des chercheurs de Trend Micro, il resterait au moins un serveur de contrôle du botnet toujours actif (proobizz.cc).

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (1 votes, note : 5,00 sur 5)
Loading...

Mots clés : , , , , , ,


Vos réactions




Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.