Kaspersky Lab, Kyrus Tech et Microsoft neutralisent le botnet Hlux/Kelihos
Dans leur lutte sans fin contre les opérateurs de botnets et les hébergeurs autorisant des enregistrements de domaines anonymes qui facilitent la tâche de ces derniers, Kaspersky Lab, Microsoft et Kyrus Tech ont marqué des points.
Les trois sociétés ont en effet collaboré avec succès à la mise hors service du botnet Kelihos (initialement nommé Hlux par Kaspersky Lab) qui a servi à la diffusion de plusieurs milliards de spams, au vol de données personnelles, au lancement d’attaques DDoS ainsi qu’à de nombreuses autres activités criminelles, via un réseau d’ordinateurs « zombies » dont le nombre est estimé à 40 000.
Microsoft a également intenté des actions judiciaires au civil contre 24 individus liés à l’infrastructure sous-jacente du botnet, ce qui a permis la fermeture des domaines Internet utilisés pour héberger et commander celui-ci. Les actions en justice de Microsoft ont été étayées par des contributions de Kaspersky Lab, mais aussi par une déclaration directe de Kyrus Tech exposant des informations et preuves détaillées relatives au botnet Kelihos.
Kaspersky Lab a joué un rôle majeur dans la neutralisation du botnet, en surveillant ce dernier depuis le début de 2011, date à laquelle a démarré la collaboration avec Microsoft sur cette affaire, notamment par le partage, avec l’éditeur américain, du système Kaspersky de suivi de botnet en direct. Kaspersky Lab a également fait en sorte que plus personne ne puisse plus prendre le contrôle de ce botnet à l’avenir.
Ses spécialistes ont procédé à la rétro-ingénierie du code, déchiffré le protocole de communication, découvert les points faibles de l’infrastructure « Peer to Peer » et développé les outils adéquats pour la contrecarrer. De plus, les domaines Internet utilisés par le botnet ayant été mis hors ligne sur décision judiciaire à la demande de Microsoft, Kaspersky Lab a pu prendre le contrôle du botnet par la technique de « sinkholing », c’est-à-dire en infiltrant l’un de ses ordinateurs dans les communications internes complexes du réseau.
« Kaspersky Lab a joué un rôle clé dans cette opération en nous fournissant des informations exclusives et approfondies, issues de ses analyses techniques et de sa connaissance du botnet Kelihos, confirme Richard Boscovich, juriste de la Microsoft Digital Crimes Unit. Cela a non seulement permis de neutraliser le botnet avec succès mais aussi apporté des éléments concrets concernant son analyse et sa structure. Nous remercions Kaspersky Lab pour son aide dans cette affaire et pour sa détermination à rendre Internet plus sûr. »
Un botnet de type Peer to Peer : Kelihos est un botnet de type « Peer to Peer », composé de couches de différents types de nœuds : des contrôleurs, des routeurs et des « zombies ».
Les contrôleurs sont des machines présumées aux mains de la bande de cybercriminels qui pilote le botnet. Elles diffusent des commandes aux zombies et supervisent la structure dynamique du réseau Peer to Peer. Les routeurs sont des machines infectées possédant des adresses IP publiques. Elles servent à l’envoi de spam, à la collecte d’adresses e-mail, à l’interception d’identifiants utilisateurs sur le réseau, etc.
Microsoft annonce que son centre de protection contre les logiciels malveillants (Malware Protection Center) a ajouté la détection de Kelihos à son outil Malware Software Removal Tool. Cet outil étant très répandu, de nombreuses infections ont d’ores et déjà pu être nettoyées.
La coopération entre Kaspersky Lab et Microsoft se poursuit depuis un certain temps. Elle a notamment porté récemment sur le ver de sinistre mémoire Stuxnet, qui a piraté des systèmes de contrôle industriel tels que ceux utilisés dans le cadre du programme nucléaire iranien.
Kaspersky Lab souhaite exprimer sa gratitude à SURFnet pour son soutien apporté à cette opération, en particulier pour avoir fourni l’infrastructure parfaite pour la technique de « sinkholing ». (Source IT Channel)