Microsoft met à mort le botnet Waledac grâce à une procédure d'ex parte, une première juridique qui pourrait changer la donne en matière d'affaires liées à la cybercriminalité
Cour du district Est de la Virginie, Etats-Unis. Un juge vient d'y ordonner que 276 noms de domaines (qui servaient de serveurs command-and-control pour envoyer des instructions à des milliers de machines infectées) soient transférés entre les mains de Microsoft par leurs propriétaires, afin d'empêcher qu'utilisation en soit à nouveau faite pour des activités cybercriminelles. Pour ce faire, un délai de deux semaines leur est accordé.
Cependant, les accusés n'étaient pas présents lors du procès, bien qu'ils en aient été informés. Ils auraient même tenté de lancer une attaque DDoS (par déni de service) à l'encontre du cabinet juridique qui a déposé la plainte. Un chercheur impliqué dans l'affaire aurait également été menacé, d'après Microsoft.
Tout ceci est bien connu des férus de sécurité informatique sous le nom de l'affaire Waledac, du nom de l'énorme botnet dont il est question.
Dans ses meilleurs jours, Waledac envoyait près de 1.5 milliards de courriels (spam) par jour, pour plus de 64.000 adresses IP uniques infectées.
Les autorités américaines estiment que les propriétaires du botnet sont localisés en Chine, pays où sont d'ailleurs enregistrés la plupart des noms de domaines incriminés.
Confisquer ces sites Internet sans que leurs responsables n'assistent à l'audience fut une première historique. La décision fut prise sous la principe d' « ex parte », en faveur de l'intérêt publique.
Il n'y avait pas encore de précédent légal à cela.
« Il s'agit de la première application d'un ex parte dans une affaire relative à un botnet. C'est la première fois que nous avons pu convaincre un tribunal, dans le contexte d'un botnet, que l'ex parte devrait être utilisé à cause des dommages causés, et de la rapidité à laquelle un botnet peut renaître.
Cette stratégie a été un « proof of concept » qui pourra servir à d'autres contre des botnets, et contre l'exécution d'autre crimes en ligne dans le futur. Le jeu à changé.
Microsoft se réjouit de cette décision et indique avoir déjà plusieurs cas similaires en réserve, dans le cadre de son projet MARS (Microsoft Active Response for Security).
« Nous travaillons déjà à appliquer les leçons que nous avons apprises lors de cette procédure pour en traiter de futures. L'industrie commence à prendre des mesures plus agressives envers les botnets. Vous pouvez êtres sûrs que cela ne s'arrêtera pas en si bon chemin. », a déclaré un porte-parole de Redmond.
Source : Le blog TechNet (Microsoft)
Mise à jour du 20.03.2010 par Katleen
Ce que Microsoft a appris en matière de lutte contre les botnets, exposé par l'un de ses chercheurs
"Voici publiées les premières leçons que nous et d'autres chercheurs avons tirées de l'impact de l'opération b49."
Microsoft semble avoir beaucoup appris de son action de neutralisation du botnet Waledac (même si celui-ci a depuis repris du service).
Les unités spécialisées de la Digital Crimes Units ont d'abord du attaquer le botnet par couches. Ceci, via des perturbations de communications P2P et des désactivations de noms de domaine pour empêcher les échanges entre les ordinateurs zombies et les serveurs de commande et de contrôle du botnet. Ont aussi été utilisées les traditionnelles désactivations de serveurs.
Ces actions ont été efficaces puisque des dizaines de milliers d'ordinateurs infectés ont été nettoyés, et que la facilité de propagation du botnet sur d'autres machines a été réduite.
Mais, ce que Microsoft a appris, c'est que rompre le lien bots / maître ne suffit pas. Une fois libérés, les ordinateurs autrefois zombies restent infectés, souvent même par d'autres malwares sans aucun lien avec cette affaire.
Microsoft a donc promptement invité les internautes à faire usage de son outil gratuit de suppression de programmes malicieux : Malicious Software Removal Tool.
Enfin, l'éditeur conclu que même s'il n'est actuellement pas possible de supprimer toutes les menaces en ligne d'un coup, une telle opération comme celle menée contre Waledac est riche d'enseignements et aide à mieux appréhender les prochaines du même genre.
Source : Message posté sur le blog du Microsoft Malware Protection Center (MMPC)
Mise à jour du 12/03/10
Peut-on vraiment lutter contre les botnets ?
Le plus grand réseau de malwares démantelé recommence à sévir en 48 heures
La victoire de Microsoft contre le réseau Waldec pourrait n'être qu'une goutte d'eau dans l'océan (lire ci-avant).
Certes, le dépôt d'une plainte avait effectivement permis d'utiliser des moyens légaux - une nouveauté à grande échelle - pour déconnecter un centre de commande du botnet Zeus et mettre hors service 277 noms de domaine lié à ce réseaux malveillant.
Mais l'activité de Zeus ne s'en est trouvé que partiellement affectée.
Et les victoires semblent de plus en plus temporaires.
Une deuxième opération visait un fournisseur d'accès et de services webs, Troyak.org, dont le FBI et les experts en sécurité se félicitaient, dès le début de la semaine, de la fermeture.
Troyac propageait en effet volontairement ce même botnet Zeus.
Sa mise hors service par ses deux providers - l'ukrainien Ihome et le russe Oversun Mercury - aurait ainsi permis la neutralisation de 25 % des ordinateurs infectés, selon Cisco Systems.
Une belle victoire pensait-on.
A peine deux jours plus tard, Troyak.org a déjà recommencé ses activités. D'après des experts en sécurité qui suivent l'affaire de près, 68 serveurs de "commande et contrôle" de Zeus se seraient remis à fonctionner suite à ce retour.
Troyak.org est un FAI enregistrée par Roman Starchenko Fedorovitch. Ses serveurs son également connus pour être à l'origine de nombreux spams. Il lui aura donc fallu moins de 48 heures pour passer un accord avec un nouveau provider, nommé Ya, et reprendre ses activités.
Interrogé par la presse, Roman Starchenko Fedorovitch prétend que ce black-out d'à peine deux jours était lié à une mauvaise manipulation d'administration réseau. Mais qu'aujourd'hui "ne vous en faîtes pas, tout est rentré dans l'ordre et fonctionne parfaitement".
Une version immédiatement contredite par les experts à l'origine de la demande de déconnexion - experts dont au passage l'anonymat doit être protégé. Ils affirment que c'est bien une action conjointe avec ses anciens providers qui avait mis Troyak hors service.
Autre fait étrange, dans les deux jours qui ont précédés cette action coordonnée, l'activité de Zeus semble avoir connu un pic inhabituel. Cette activité anormale laisse penser que les cyber-criminels ont volontairement et massivement diffusé le botnet pour construire de nouveaux réseaux d'ordinateurs zombies qui ne seraient pas affectée par la déconnexion de Troyac.
Et donc qu'ils ont été prévenus.
Le FBI en vient à parler de "jeu du chat et de la souris".
Ce Zeus fait décidément de plus en plus penser à Sisyphe.
Et vous ?
D'après vous, les experts arriveront-ils un jour à venir à bout de Zeus (et des réseaux de botnets ce type) hors service ? Quelle(s) solution(s) (politiques, juridiques, techniques) proposeriez-vous si vous étiez en charge de ce problème ?MAJ de Gordon Fowler
Microsoft annonce le démantèlement du réseau botnet Waledac responsable de la diffusion de plus de 1,5 milliard de spams par jour
Microsoft viens d’annoncer sur son blog officiel la réussite de son opération de démantèlement du réseau botnet Waledac.
cliquez sur l'image pour l'agrandir
Cette opération baptisée b49 et qui a duré 3 jours a permis de déconnecter le centre de commande du botnet et l’arrêt de 277 noms de domaine (après avoir déposé une plainte) soupçonnés d’être derrière ce réseau mondial de machines zombies.
Le réseau botnet Waledac est constitué de milliers de machines infectées à travers le monde, permet d’envoyer environ 1,5 milliard de spams par jour, et représente l’un des plus grands réseaux botnet aux Etats-Unis.
Microsoft a annoncé que cette opération n'a pas nettoyé les ordinateurs infectés, et recommande de suivre ces conseils sur la sécurité et de télécharger son outil «Malicious Software Removal Tool » pour nettoyer les machines susceptibles d’être infectées.
Source : le blog officiel de Microsoft
Qu’en pensez-vous ?Voir aussi :
Comment se protéger des botnets ? Pourra-t-on un jour éradiquer cette menace ? La rubrique sécurité 
dommage pour un produit Microsoft ...
Envoyé par razmo
