Importante victoire dans la lutte contre le spam

Des experts en sécurité informatique ont détruit Grum, un botnet (réseau d’ordinateurs zombies détournés à l’insu de leurs propriétaires) responsable de 18% du trafic de spam mondial.

 

Leur traque nous est narrée par Benjamin Gourdet sur 01net

Grum est responsable de 18 milliards de spams quotidiens ! Et c’est aussi l’un des plus anciens encore en activité : sa création remonte à 2008. (…)

Partie d’échecs à l’échelle planétaire

Comme de nombreux botnets, sa diffusion est basée sur des serveurs disséminés sur la planète et des milliers de PC « zombies » qui reçoivent leurs instructions pour servir de relais d’envoi. La bataille qu’a coordonnée Atif Mushtaq (responsable du projet d’éradication de Grum au sein de FireEye, société de sécurité informatique) ressemble à une partie d’échecs planétaire.

Deux types de serveurs CnC [Command and Control, les serveurs qui contrôlent les PC « zombies » et leur envoient des instructions, NDLR] ont été repérés par les chercheurs en sécurité. Deux d’entre eux étaient situés aux Pays-Bas et se chargeaient d’indiquer aux PC « zombies » les spams qu’ils devaient envoyer. Deux autres serveurs, chargés de mettre à jour les informations de configuration sur le réseau de PC infectés, ont été identifiés au Panama et en Russie.
Dans un premier temps, les deux serveurs néerlandais ont été rapidement mis hors d’état de nuire avec l’aide des autorités locales. Ainsi, une bonne partie des PC « zombies » se sont retrouvés « orphelins » et, sans instructions reçues, sont devenus inactifs. Le 17 juillet 2012 au matin, le serveur panaméen a à son tour été détruit. « Avec la disparition de ce dernier, c’est tout un pan de Grum qui s’est écroulé définitivement », rapporte le chercheur de FireEye. D’une part, une partie des ordinateurs infectés ne recevaient plus les ordres et il était désormais impossible de mettre leur configuration à jour pour qu’ils soient à nouveau fonctionnels.

Malin comme un hacker…

A ce stade, les équipes ont estimé qu’il ne restait plus qu’à éliminer le serveur russe. Mais les cybercriminels avaient plus d’un tour dans leur sac : les deux serveurs néerlandais avaient déjà été remplacés par six nouvelles machines situées, cette fois-ci, en Ukraine. (…)
Atif Mushtaq a immédiatement partagé cette découverte avec ses homologues de Spamhaus et du CERT-GIB (une société russe spécialisée dans la cybersécurité) ainsi qu’avec un chercheur anonyme du nom de Nova7. Dans la nuit du 17 au 18 juillet, leurs actions réunies appuyées par l’intervention des FAI et des autorités locales, sont venues à bout des six serveurs ukrainiens et du « centre de commandes » situé en Russie. Fin de la partie : Grum est officiellement mort.
(…)

Source : http://www.01net.com/editorial/570465/grum-le-troisieme-plus-important-botnet-est-hors-detat-de-nuire/


Leave A Comment