Des chercheurs détournent un botnet pour comprendre son fonctionnement
Des chercheurs américains ont réussi à détourner un botnet pour l’observer et comprendre les méthodes utilisées pour contaminer et prendre le contrôle d’un maximum de machines.
Afin de mieux savoir de quelle manière opèrent les cybercriminels sur la Toile, un groupe de chercheurs américains a récemment pris le contrôle d’un botnet pour pouvoir le disséquer et mieux comprendre son fonctionnement. Rappelons qu’un botnet est un ensemble d’ordinateurs zombies connectés en réseau, permettant de lancer des attaques malveillantes à grande échelle.
Ces chercheurs de l’université de Santa Barbara, en Californie, ont été capables de mettre la main sur le botnet baptisé Torpig et ainsi d’observer et d’analyser l’ensemble des données rassemblées par ce réseau lors de ses attaques, sur une durée de 10 jours.
Pendant ce laps de temps, les chercheurs estiment que l’ensemble de ces ordinateurs zombies ont collecté pas moins de 70 GB de données volées, en provenance de 180 000 machines infectées. Ces chercheurs ont pu détourner le botnet en exploitant une faille dans la rotation des adresses IP des serveurs auxquels accèdent les victimes. En réussissant à « cracker » l’algorithme utilisé pour générer ces différentes adresses IP, ils ont été capables de déterminer à l’avance les plages d’adresses IP utilisées par les serveurs de Torpig, et ainsi mettre en place un faux serveur de commandes.
Générer un maximum de fausses adresses IP pour être sûr de faire mouche
Une fois le botnet détourné, les chercheurs ont passé dix jours à le disséquer et à réunir un certain nombre d’informations probantes concernant ce botnet. Ainsi, ils ont pu remarquer que, même si « seulement » 180 000 ordinateurs ont été contaminés, pas moins de 1,2 million d’adresses IP ont été nécessaires pour les infecter. Les chercheurs estiment qu’il faudrait remettre en question la méthode consistant à évaluer la taille d’un botnet en se fondant sur le nombre d’adresses IP créées.
Les chercheurs ont également découvert que les données personnelles collectées par Torpig ne concernent pas uniquement les traditionnels numéros de comptes bancaires ou de cartes de crédits. Les données collectées par les ordinateurs zombies concernaient également des informations disponibles via des boîtes de messagerie électroniques, laissant à penser que le botnet pourrait aussi servir à propager des spams à grande échelle.
Des utilisateurs encore bien trop négligents
En analysant les machines infectées, les chercheurs américains ont découvert que Torpig, comme n’importe quel malware, a principalement visé des machines mal protégées et mal sécurisées, très faciles à pénétrer. « C’est le preuve que le problème lié aux malwares est fondamentalement un problème culturel », estiment ces chercheurs.
« Les gens comprennent aujourd’hui bien l’importance de bien entretenir et de sécuriser au maximum leur voiture, mais ils ne comprennent toujours pas les conséquences néfastes que peuvent entraîner un comportement irresponsable lorsqu’ils utilisent un ordinateur ».
Adaptation d’un article Vnunet.com en date du 4 mai 2009 et intitulé Researchers hijack botnet