Une récente opération menée par les autorités policières du monde entier a perturbé des centaines de réseaux de zombies tentaculaires dans le monde entier. Les botnets, ou réseaux de robots qui effectuent les actions demandées par leurs maîtres, étaient propulsés par des logiciels malveillants, dont la plupart ont été classés par les chercheurs d'ESET sous le nom de détection Win32/TrojanDownloader.Wauchos, mais aussi connu sous les noms de Gamarue ou Andromeda par d'autres entreprises de sécurité.
La répression internationale du 29 novembre est le fruit d'un effort concerté des chercheurs de Microsoft et d'ESET qui ont duré plus d'un an. ESET a fourni des renseignements techniques pour l'opération après avoir suivi les réseaux de zombies, identifié leurs serveurs de commandement et de contrôle (C&C) et surveillé ce que les responsables de la menace installaient sur les systèmes des victimes. Nous avons rencontré Jean-Ian Boutin, chercheur sénior d'ESET en logiciels malveillants, pour discuter du rôle d'ESET dans cette opération, ainsi que des menaces que représentent les botnets en général.
Étant donné que Wauchos constitue l'une des familles de logiciels malveillants les plus anciennes, qu'est-ce qui en a fait une si longue durée de vie?
Wauchos existe depuis 2011 et était disponible sur des forums clandestins et a donc été vendu à différentes personnes. En outre, ses nombreuses caractéristiques et son développement continu ont séduit les cybercriminels qui ont donc décidé de l'utiliser pendant de longues périodes.
Pourquoi tant de temps a été nécessaire pour le réprimer?
Ce type d'opération prend beaucoup de temps. Comme mentionné dans cet article, cet effort a débuté en 2015. Il a fallu beaucoup de temps pour tout préparer en vue d'une opération policière. De plus, il doit y avoir des entités appropriées qui sont prêtes à investir les ressources nécessaires pour mettre fin à un réseau de zombies. Ainsi, le botnet doit être très répandu et causer beaucoup de mal, pour justifier le déclenchement une opération à cette échelle.
Quels pays ont été les plus touchés par l'infestation?
La plupart des infestations observées au cours des six derniers mois se sont produites en Asie du Sud-Est et en Amérique du Sud.
Quel types d’appareils ont été les plus affectés? Les ordinateurs domestiques, d’entreprise, les serveurs, etc.?
Les vecteurs d'infection de Wauchos incluaient les médias sociaux, les médias amovibles, les courriers indésirables et les téléchargements drive-by. Comme aucun de ces liens ne vise un groupe particulier d'utilisateurs, pratiquement tous les utilisateurs d'ordinateurs qui cliquent sur un lien sont des victimes potentielles.
Quel rôle avez-vous joué dans cette opération de démantèlement? Quelle a été l’implication de vos recherches et votre collaboration avec Microsoft et les forces de l'ordre?
Notre rôle dans l'opération était d'ordre technique : analyse des logiciels malveillants et recherche de serveurs C&C utilisés par les différents botnets Wauchos. Comme cette menace a été vendue dans des forums clandestins, il était important de s'assurer que tous les serveurs Wauchos C&C étaient identifiés et démantelés simultanément. Nous avons contribué à cet effort grâce à notre système de suivi des botnets.
Comment avez-vous capturé et analysé les logiciels malveillants derrière ce botnet?
La première étape a été d'analyser le protocole réseau du bot et son comportement, afin de l'inclure dans notre plateforme de suivi du botnet. Cette plate-forme peut analyser automatiquement les échantillons reçus de nos clients, extraire les informations pertinentes et les utiliser pour se connecter directement au serveur C&C malware. Nous pouvons ainsi collecter automatiquement les informations pertinentes pour cette opération en analysant les échantillons de Wauchos qui nous sont communiqués par nos clients.
Comment vous êtes-vous assuré que les criminels n'étaient pas au courant de vos recherches?
Bien entendu, lorsqu'on travaille sur ce type d'opération, il est primordial de s'assurer que les criminels n'en sont pas conscients. Nous avons donc essayé de n'informer que les personnes qui avaient besoin d'en être informées et de préserver la confidentialité des informations sensibles.
Quel est le type de dommage le plus fréquent de l’infestation d’un ordinateur par Wauchos?
Historiquement, Wauchos a été utilisé pour voler les identifiants de connexion via son plugin de récupération de formulaire et installer d'autres logiciels malveillants sur le système infecté.
Quelle a été la méthode d’infection des machines la plus courante?
Comme Wauchos a été acheté puis distribué par divers cybercriminels, les vecteurs d'infection utilisés pour répandre cette menace ont considérablement variés. Historiquement, les échantillons de Wauchos étaient distribués par le biais des médias sociaux, de messageries instantanées, de médias amovibles, d’envois de courriers indésirables et de kits d'exploitation.
Est-ce des signes évidents pour l'utilisateur pouvaient indiquer qu'un ordinateur avait été compromis par Wauchos?
Pas vraiment.
Comment le botnet a-t-il été monétisé? Je suppose que l'argent était la raison pour laquelle ces botnets ont été lancés en premier lieu.
Comme Wauchos a été vendu sur des forums clandestins, divers schémas de monétisation ont été utilisés. L'un d'entre eux consistait à utiliser le plugin de récupération de formulaire pour voler les mots de passe de comptes en ligne. Un autre était, moyennant des frais, d'installer des logiciels malveillants supplémentaires sur la machine compromise; c’est un stratagème extrêmement populaire parmi les cybercriminels, connu sous le nom de "paiement à l'installation".
Quel type d'infrastructure de C&C les opérateurs de Wauchos utilisaient-ils pour contrôler les ordinateurs zombies?
Ils utilisaient plusieurs serveurs C&C situés à divers endroits. Ce sont ces serveurs qui ont été ciblés dans l'opération de démantèlement.
Est-ce qu’un moyen fiable de détecter qu'un robot communiquait avec son serveur C&C existait?
Les bots de Wauchos utilisaient un réseau reconnaissable pour communiquer avec leurs serveurs C&C. Cela nous a permis de mieux protéger nos utilisateurs en ajoutant une autre couche de protection : la création de détections réseau, nous permettant de reconnaître quand un bot essayait d'atteindre son serveur C&C.
Comment avez-vous découvert la communication entre un ordinateur infesté et son serveur C&C et comment s'est déroulée cette communication?
Les détails de la communication réseau sont présentés dans cet article de blog. Celle-ci a été obtenue par rétroingénierie des différents échantillons.
Le trafic C&C a-t-il été chiffré?
Oui, il utilisait une clé RC4 intégrée dans le binaire.
Comment les programmes malveillants derrière le botnet interféraient-ils avec le fonctionnement du système d'exploitation?
Wauchos interférait avec le système d'exploitation de plusieurs façons. Entre autres choses, il essayait de désactiver les fonctions du pare-feu Windows, des mises à jour Windows et du contrôle de compte d’utilisateur.
Wauchos a-t-il utilisé des techniques anti-VM ou anti-sandbox?
Comme cette famille de logiciels malveillants était vendue dans des forums clandestins, différents cybercriminels utilisaient différentes techniques, mais oui, nous avons observé des échantillons utilisant des techniques anti-VM et anti-sandbox.
Y a-t-il un moyen de déterminer si le plugin rootkit a réussi à dissimuler l'infestation?
Pas vraiment.
En vous basant sur votre expérience avec les perturbations du botnet, que croyez-vous que Wauchos nous réserve, maintenant qu'il est obstrué?
Il disparaîtra probablement lentement au fur et à mesure que des mesures correctives seront prises. Pour ce type de réseau de robots à longue durée de vie, il est très difficile de nettoyer tous les systèmes qui ont été compromis par Wauchos. Mais heureusement, tant que les bons joueurs contrôlent les serveurs C&C, aucun nouveau méfait ne peut être commis contre ces PC compromis.
D'une manière générale, quels symptômes pourraient alerter les utilisateurs quotidiens que leurs ordinateurs ont été pris au piège dans un réseau de robots?
Selon la famille de logiciels malveillants, il peut être difficile de reconnaître que votre ordinateur est compromis. Si vous remarquez un comportement étrange de votre ordinateur, comme par exemple - mais sans s'y limiter – que votre solution de sécurité est désactivée ou n'est plus capable de se mettre à jour elle-même, ou si vous constatez que vous ne recevez pas les mises à jour normales de Windows, des logiciels malveillants pourraient être en cause. L'utilisation d'outils gratuits, tels que le scanneur en ligne d'ESET pour analyser votre système peut vous aider à détecter et à supprimer les logiciels malveillants qui pourraient causer ces problèmes.
Comment s'assurer que son ordinateur ne finit pas par faire partie d'un réseau de zombies?
La plupart des familles de logiciels malveillants les plus courantes utilisent de vieilles astuces et ne peuvent pas s'installer sans l'aide d'utilisateurs imprudents. Les recommandations habituelles de ne pas cliquer sur des liens aléatoires ou d'ouvrir des pièces jointes provenant de sources non fiables contribuent grandement à la sécurité sur Internet.
Avez-vous bu un verre de champagne pour célébrer le succès de cette opération?
Oui!
