Lors du démantèlement du réseau Avalanche, nous avons découvert l’existence d’un réseau à flux rapide… et ce n’est pas la première fois qu’on observe ce genre de situation. Ce type de réseau est employé depuis plusieurs années déjà, et démanteler un réseau zombie (botnet) reposant sur ce système est tout un casse-tête.
Commençons par la base.
Qu’est-ce qu’un réseau à flux rapide et comment ça fonctionne?
Un réseau à flux rapide est un moyen utilisé par les réseaux zombies pour masquer les noms de domaines servant à propager des logiciels malveillants ou à héberger des sites d’hameçonnage. Le terme fait aussi référence à un type de réseau, semblable à un réseau poste à poste, où sont hébergés les centres de commande et de contrôle (C&C) et les serveurs mandataires de ces réseaux zombies, ce qui les rend difficiles à détecter et à démanteler.
LE PRINCIPE DE BASE D’UN RÉSEAU À FLUX RAPIDE EST D’ASSOCIER PLUSIEURS ADRESSES IP À UN MÊME NOM DE DOMAINE ET DE LES CHANGER À INTERVALLE RAPIDE EN CONTINU.
Le principe de base d’un réseau à flux rapide est d’associer plusieurs adresses IP à un même nom de domaine et de les changer à intervalle rapide, en continu. Par exemple, dans le cas du réseau Avalanche, on a répertorié plus de 800 000 noms de domaines malveillants utilisés par les pirates informatiques depuis son implantation en 2009. Les adresses IP pouvaient changer toutes les cinq minutes, et les nouvelles connexions établies empêchaient d’accéder au même site web sous le contrôle des pirates.
La plupart des machines faisant partie de ce type de réseau ne sont pas responsables de l’hébergement et du téléchargement des logiciels malveillants sur les ordinateurs des victimes. Elles ne jouent qu’un rôle intermédiaire en cachant les vraies adresses des systèmes contrôlés par les pirates. Quelques machines seulement font office de serveurs pour propager le contenu malveillant.
Question de compliquer les choses, les pirates s’assurent que les infrastructures essentielles de leur réseau profitent d’une disponibilité et d’une bande passante supérieures, et vont jusqu’à déployer des systèmes d’équilibrage de charge afin d’être en mesure de traiter toutes les demandes de téléchargement de logiciel malveillant générées par les ordinateurs des victimes. Une autre pratique courante consiste à régulièrement vérifier l’état du réseau afin d’éliminer les nœuds inaccessibles et de s’assurer que le contenu malveillant est toujours actif et téléchargeable.
Types de réseaux à flux rapide
Il existe deux principaux types de réseaux à flux rapide :
- Réseaux à flux simple
Un réseau à flux simple est composé de nombreux nœuds individuels qui attribuent ou suppriment les adresses IP d’un DNS A (adresse) associées à un même nom de domaine. Les adresses IP attribuées ont une durée d’utilisation très courte (à peine cinq minutes), ce qui a pour conséquence que les adresses se succèdent constamment lorsqu’on tente d’accéder à un nom de domaine en particulier.
Avec sa panoplie de nœuds prêts à modifier les adresses IP, le système en place fonctionne sans arrêt. Dès qu’un nœud est bloqué, un autre le remplace. De plus, les domaines sont généralement hébergés sur des serveurs protégés, offerts par certains fournisseurs à leurs clients, qui garantissent la poursuite des activités même si les autorités ordonnent de supprimer un nom de domaine.
- Réseaux à flux double
Ce type de réseau se base sur des techniques et des composants semblables au précédent afin de relier les systèmes des victimes et des pirates informatiques. Toutefois, une étape supplémentaire permet de dissimuler encore mieux la machine qui alimente le logiciel malveillant, la rendant presque impossible à retracer.
Ici, les ordinateurs zombies qui forment le réseau remplissent la fonction de serveur mandataire. Les victimes ne peuvent donc pas accéder directement aux serveurs qui hébergent et alimentent les logiciels malveillants ni savoir d’où ils proviennent. Cette mesure de dissimulation supplémentaire permet aux pirates d’assurer la pérennité de leur infrastructure.
Détection des réseaux à flux rapide
UN CRIMINEL PEUT FACILEMENT METTRE EN PLACE UNE INFRASTRUCTURE BASÉE SUR UN RÉSEAU À FLUX RAPIDE, QUI EST DIFFICILE À RETRACER.
À l’annonce du démantèlement du réseau Avalanche, certaines personnes s’étonnaient d’apprendre que ce réseau zombie existait en fait depuis 2009. Même si on imagine difficilement comment un tel réseau zombie a pu opérer pendant six ans, il faut comprendre que c’est la nature de son infrastructure qui a compliqué la tâche des autorités.
Un criminel peut facilement mettre en place une infrastructure basée sur un réseau à flux rapide, qui est difficile à retracer grâce aux nombreux nœuds servant à brouiller les pistes. Aussi, vu l’envergure mondiale du réseau, les lois des différents pays ont ralenti l’enquête. Les autorités des pays concernés ont dû collaborer afin de trouver un terrain d’entente avant d’intervenir.
Autres obstacles de taille : le changement constant des adresses IP et la génération aléatoire de milliers de noms de domaines grâce à un algorithme. Analyser la durée de chaque connexion établie par le réseau zombie demande un temps fou. À partir d’une piste prometteuse, les autorités tentent de localiser les centres de commande et de contrôle des réseaux zombies. Il leur faut obtenir des renseignements auprès des fournisseurs d’accès à Internet, parfois peu coopératifs, et analyser un nombre incalculable de domaines enregistrés afin de détecter tout signe d’activité malveillante.
C’est pourquoi ce genre d’enquête s’étend sur des années. Une simple petite erreur bureaucratique pourrait faire échouer toute l’opération et donner aux criminels une porte de sortie.
En tant qu’utilisateurs, notre rôle est de nous assurer que nos systèmes ne sont pas infectés ni gérés par des pirates informatiques. Il faut donc absolument faire les mises à jour de systèmes et d’applications recommandées, avoir un antivirus à jour et consulter régulièrement des blogues sur la cybersécurité. Vous connaîtrez les menaces qui planent et saurez comment les détecter.