Coordonné par Microsoft, un groupe de plusieurs entreprises a lancé une offensive contre TrickBot, un des botnets les plus actifs. L'opération, bien qu'ambitieuse, n'a pas suffit à démanteler le réseau. Elle l'a tout juste ralenti l'espace d'un ou deux jours. Mais cette opération est la première étape d'un travail de sape qui frappe les criminels au portefeuille, et pourrait porter ses fruits à long terme.

C’est un petit coup de pied dans la fourmilière des cybercriminels de Trickbot qu’a orchestré Microsoft le 12 octobre. Avec cinq autres entreprises de pointe du secteur (ESET, NTT, Symantec, FS-ISAC et Lumen),  l’équipe « Defender » a porté un premier coup d’estoc au réseau informatique d’un des gangs les plus actifs au monde.

« TrickBot » désigne à la fois l’organisation, le botnet [un réseau complexe d’appareils infectés, ndlr] qui y est rattaché, et un malware destiné au vol d’information. La coalition estime que ce botnet, un des plus grands, compte près d’un million d’appareils : des serveurs, des ordinateurs personnels, mais aussi toutes sortes d’objets connectés.

Les opérateurs de TrickBot contrôlent plus d’un million d’appareils infectés. // Source : Louise Audry pour Numerama

Les opérateurs de TrickBot s’en servent pour leurs propres intérêts, mais ils proposent aussi aux autres gangs de cybercriminels d’utiliser la structure, contre rémunération. Parmi leurs clients réguliers se trouvent les pirates à l’origine du rançongiciel Ryuk. Ils emploient TrickBot pour envoyer en masse des emails de phishing, dont les tentatives réussies permettent d’installer des portes dérobées. Ce canal permet d’ensuite d’exfiltrer des informations sensibles comme des identifiants dans un sens, et d’installer des malwares — comme le cryptolockeur destiné à chiffrer les données — dans l’autre sens.

Avant l’opération de la coalition d’entreprises de cybersécurité, TrickBot était particulièrement actif, que ce soit lors d’attaques communes avec un autre dangereux botnet, Emotet, ou dans ses propres campagnes de phishing.

Comme le souligne ZDNet, plutôt que d’essayer de démanteler l’organisation d’un seul coup — un objectif difficilement atteignable –, la coalition a démarré un travail de sape, qu’elle devra continuer. Elle pose des bases légales et techniques qui permettront de progressivement dégrader la réputation et les capacités du groupe cybercriminel. Certes, il pourrait se rétablir à chaque fois, mais de moins en moins efficacement.

Étape 1 : désactiver une partie du réseau

Pendant de nombreux mois, les chercheurs des différentes équipes ont collecté et analysé plus de 125 000 échantillons du malware. Leurs objectifs : affiner leur compréhension du malware, et identifier ses interactions avec les serveurs extérieurs — appelés C&C pour « control and command » — depuis lesquels les pirates envoient les attaques.

Ils ont ainsi créé une cartographie partielle du botnet et de son mode de fonctionnement. Ensuite Microsoft, en tête de proue de la coalition, a demandé à la Justice américaine l’autorisation de passer à l’offensive contre les serveurs malveillants. Pour justifier l’action, l’entreprise est parvenue à prouver que le malware de TrickBot allait à l’encontre des conditions d’utilisations du kit de développement de son système d’exploitation, Windows.

Microsoft et ses alliés ont désactivé les adresses IP des machines infectées, les coupant ainsi temporairement du reste d’Internet. Les malfaiteurs ne peuvent ainsi plus utiliser les malwares stockés sur leurs serveurs C&C. La coalition a également essayé d’empêcher l’achat de serveurs additionnels.

Couper la tête de l’hydre est trop difficile

Désormais, elle effectue un travail de communication afin de prévenir les personnes dont les systèmes sont infectés et détournés par TrickBot. Charge aux équipes de sécurités de ces organisations de nettoyer leur réseau. Dans d’autres cas, Microsoft et ses partenaires ont directement sollicité les fournisseurs d’accès Internet (FAI) afin de couper les machines corrompues d’Internet, pour de bon.

En s’en prenant à un botnet de cette taille, la coalition ne pouvait qu’avoir des ambitions limitées : une partie de la structure complexe du botnet est insensible à ce genre de mesures techniques, puisque les hébergeurs concernés ne répondent pas aux demandes de désactivation. Plutôt que d’essayer de couper la tête de l’hydre TrickBot, la coalition a donc tenté de s’en prendre à son business.

Étape 2 : endommager la réputation des opérateurs du botnet

Leur intuition n’a pas raté : à peine deux jours après l’action d’ampleur, TrickBot montrait les signes de sa survie. Les serveurs de commande et contrôle ont déjà été remplacés, avance ZDNet, qui cite plusieurs sources expertes. La frappe a tout de même donné une bouffée d’air de plusieurs dizaines d’heures aux cibles du botnet, qui n’a d’ailleurs toujours pas repris le rythme effréné sur lequel il était lancé.

Microsoft et ses alliés vont recommencer leur action, tant sur le plan légal que technique, annonce un dirigeant de l’entreprise dans les colonnes du site anglophone. Cette opération était donc la première bataille de ce qui pourrait devenir une guerre de longue haleine.

TrickBot, affaibli, a-t-il les moyens de se mettre hors de danger ?

Même si TrickBot s’est rapidement rétabli après l’attaque, elle n’est pas indolore. Pour commencer, la perte de serveurs et l’achat de nouveaux représentent un coût financier non négligeable. À cela s’ajoute le ralentissement des opérations en cours, qui se traduit également en perte sèche pour le volume d’affaires des cybercriminels.

Surtout, les entreprises de cybersécurité ont prouvé qu’elles pouvaient se saisir de certaines informations du gigantesque botnet. Les clients de TrickBot — qui dépensent d’importantes sommes pour y accéder — pourraient donc apparaître sur le radar des forces de l’ordre. C’est un enjeu d’importance : si les opérateurs du botnet ne peuvent pas garantir la discrétion à leurs clients, la demande pour leurs services diminuera, et donc leurs rentrées d’argent aussi. Dans le cyber aussi, l’argent est le nerf de la guerre : avec moins de moyens financiers, TrickBot aura moins de chances de développer des systèmes pour échapper à la justice.

De son côté, TrickBot ne resterait pas sans agir : il aurait déjà commencé à migrer une partie de sa structure vers des serveurs plus discrets, qui lui permettraient d’échapper à certaines mesures de répression.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux