5/5 - (2 votes)

Le botnet de service proxy IPStorm démantelé

Le botnet IPStorm avec 23 000 proxys pour le trafic malveillant démantelé. Le ministère américain de la Justice a annoncé aujourd’hui que le FBI (Federal Bureau of Investigation) a mis hors service le réseau et l’infrastructure d’un service proxy de botnet appelé IPStorm (InterPlanetary Storm). IPStorm a permis aux cybercriminels d’exécuter du trafic malveillant de manière anonyme via des appareils Windows, Linux, Mac et Android partout dans le monde. Selon Bleeping Computer, plusieurs organismes chargés de l’application des lois ont été impliqués dans l’enquête, notamment le Groupe de cyberattaques de la Police nationale espagnole, la Division du crime organisé international de la Police nationale dominicaine et le ministère de l’Intérieur et la Direction de la police et de l’immigration.

L’équipe de recherche d’Intezer a contribué au dossier du FBI, en partageant nos conclusions et analyses sur les nouvelles variantes et capacités du malware IPStorm au fur et à mesure de son expansion pour infecter les appareils Linux, Mac et Android dans le monde entier. Étant donné qu’IPStorm est écrit en Golang, nous pouvons non seulement observer des connexions de code solides entre les différentes variantes de Linux, mais nous pouvons également identifier les connexions aux exemples Windows d’IPStorm téléchargés sur Intezer en 2019.

En mai 2019, l’équipe de chercheurs en sécurité d’Anomali découvrent un nouveau logiciel malveillant dans la nature. Celui-ci utilise un réseau peer-to-peer (p2p) au-dessus du réseau p2p d’InterPlanetary File System (IPFS). Ce malware cible les machines Windows et permet à l’auteur de la menace d’exécuter n’importe quel code PowerShell arbitraire sur les machines infectées. L’utilisation d’un réseau p2p légitime peut rendre difficile la découverte du trafic malveillant, car il est potentiellement mélangé au trafic légitime vers le réseau p2p légitime. Cela peut également rendre plus difficile le sinkhole du botnet, car il existe un risque que le réseau p2p légitime soit également mis hors service. Ce procédé protège en quelque sorte contre les initiatives de démantèlement, en effet l’enfoncement du réseau p2p pourrait potentiellement mettre hors service l’ensemble du réseau IPFS. Dans cette situation, un attaquant mal intentionné peut mettre en œuvre un réseau de botnets p2p avec l’utilisation d’une simple bibliothèque open source.


Le code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible. Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


Un botnet (de l'anglais, contraction de « robot » et « réseau ») est un réseau de bots informatiques, des programmes connectés à Internet qui communiquent avec d'autres programmes similaires pour l'exécution de certaines tâches.  Historiquement, botnet désignait des réseaux de robots IRC. Le sens de botnet s'est étendu aux réseaux de machines zombies, utilisés pour des usages malveillants, comme l'envoi de spam et virus informatiques, ou les attaques informatiques par déni de service (DDoS). Parmi les botnets les plus connus, on trouve le code malveillant mirai, qui permet de lancer des attaques par déni de service (DDoS) via des objets connectés. Il scanne les ports Telnet ouverts et tente de se connecter à l'aide d'une liste prédéfinie d'informations d'identification par défaut ou faibles. En décembre 2021, Google met un terme à Glupteba, un botnet constitué d’un million de machines. Ce large réseau était utilisé en matière de cyberattaque via des infections par ransomwares. En août 2023, démantèlement de l’infrastructure du réseau de botnet malveillant Qakbot/Qbot.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.
Share
Tweet
whatsapp
Share
Pin it

A propos de l'auteur

Nicolas Coolman est un expert en informatique et en sécurité informatique français bien connu. Il est spécialisé dans l'analyse et la désinfection de logiciels malveillants, notamment les adwares, les ransomwares, les chevaux de Troie et autres types de logiciels indésirables. Nicolas Coolman est également le créateur de plusieurs outils de sécurité informatique, tels que "ZHPCleaner" et "ZHPDiag", qui sont largement utilisés par les utilisateurs pour analyser et nettoyer des logiciels malveillants de leurs systèmes d'exploitation Windows . Nicolas Coolman est très actif dans la communauté de la sécurité informatique et partage régulièrement ses connaissances et ses découvertes sur son site Web et sur les forums dédiés à la sécurité. Son expertise est reconnue par de nombreux utilisateurs et professionnels de l'informatique, et il est considéré comme une référence dans le domaine de la lutte contre les logiciels malveillants.

Publications similaires

Retour en haut