Cent treize milliards de pourriel par mois, 100 000 « bots » dans le monde pilotés par moins de 30 C&C (centre d’administration des tribus de machines zombifiées), telles sont les statistiques difficilement imaginables d’une seule famille de botnet spécialisée dans l’envoi de spam. C’est une machine de production intensive, avec ses gangs spécialisés, ses sous-réseaux hiérarchisés, ses bases de données contenant des milliards d’adresses mail actives, ses mécanismes de contournement de protection, notamment les fameux outils destinés à casser les Captcha, explique un impressionnant rapport universitaire de 8 pages, fruit de la collaboration de l’UCSD et de l’Université Allemande de Bochum. C’est la première fois qu’une telle étude est réalisée en considérant le problème non pas sous l’angle de la menace, mais sous celui de l’administrateur de botnet. Le spam vu par les truands en quelques sortes. A ne pas lire le soir avant de s’endormir si l’on est administrateur de messagerie. Les quatre universitaires ont, des mois durant, analysés les 2,3 To de données et 24 bases de données contenues sur 16 serveurs ayant servi au botnet Pushdo/Cutwail. Etude qui a notamment abouti à la fermeture d’une bonne partie dudit réseau de bot et amputé des deux tiers le nombre de C&C opérationnels. Las, certains hébergeurs sont trop impliqués dans le business rentable de l’industrie du spam pour que la totalité du botnet ait pu être réduite au silence.
Parfois, les actions de quelques professionnels de la sécurité et associations antispam (notamment SpamHaus) s’avèrent payantes. Le plus récent exemple (et probablement le plus significatif depuis l’affaire McCollo), c’est la fermeture du botnet Rustock : 250 000 bots, entre 800 000 à un million d’ordinateurs infectés, 26 C&C devenus muets depuis le 15 mars dernier. L’an passé, c’était l’enterrement de première classe de Mega-D, alias Ozdoc, aussi important que Cutwail ou Rustock. Un récent billet de SecureWorks (désormais Dell-SecureWorks) plaçait Rustock en tête, devant Pushdo/CutWail (voir ci-dessus), considérablement affaibli depuis l’été dernier (la comptabilisation des 100 000 bots remonte à « avant » l’action des chercheurs de l’UCSD et de Bochum). Mais il reste encore Lethic, Grum, Festi, Maazben, Bobax, Xarvester, Waledac (botnet de 5ème zone qui essuya le feu de Microsoft), Bagle l’ancêtre…
Les métriques de ces deux analyses, aussi denses que précises, répondent en partie à une question « dans le vent » : il ne faut pas chercher très loin quel type de recrutement opèrera une cyber-armée qui souhaiterait en découdre avec les installations informatiques d’un pays ennemi. Les botnets mafieux sont « récupérables » et très probablement retournables, avec ou sans l’avis de leur bot herders. Cela expliquerait-il en partie la relative mollesse avec laquelle les gouvernements tant américains que Russes (les deux superpuissances) chasseraient les réseaux de spam à l’heure actuelle ? Certes, certains réseaux tombent lorsqu’ils commencent à devenir trop gênants, mais les troupes fraîches ne manquent pas, et les coups d’arrêt donnés à certains ne durent que l’espace d’un soupir. Soit parce que le botnet est « récupéré » par remplacement de ses C&C grâce à des mécanismes de sécurité intégrés aux vecteurs d’infection eux-mêmes, soit parce que la place laissée libre par la disparition d’un acteur majeur est immédiatement occupée par une dizaine de plus petits prétendants, lesquels, après une période de concurrence fratricide, se transformeront en un unique et tentaculaire « nouveau » botnet majeur.
1 commentaire