Microsoft bloque le Botnet Nitol découvert en Chine

le 17/09/2012, par M.G avec IDG NS, Hacking, 895 mots

Microsoft bloque le Botnet Nitol découvert en Chine

A la suite d'une décision de la justice américaine, Microsoft a pu fermer un système de commande et contrôle (C&C) qui permettait la diffusion d'un botnet susceptible d'infecter des millions de PC sous Windows. Ce botnet, dénommé Nitol, avait été découvert sur  un PC acheté en Chine.



Un tribunal de l'Etat de Virginie a récemment autorisé Microsoft à mener une action pour stopper la propagation de 500 souches de malwares ciblant potentiellement des millions d'utilisateurs. 

Dans l'un de ses blogs,
 l'éditeur américain explique que cette intervention, à la fois légale et technique, baptisée du nom de code Opération b70, fait suite à une étude qu'il a menée à partir d'août 2011. Celle-ci a établi que des cybercriminels avaient infiltré une chaîne logistique non sécurisée pour introduire des logiciels contrefaits contenant un malware avec l'objectif d'infecter secrètement les ordinateurs ainsi commercialisés.

Le malware est embarqué dans des versions contrefaites du système d'exploitation Windows. Il a été conçu pour espionner les utilisateurs et déboucher sur des attaques en déni de service, explique Microsoft.

Pour l'éditeur, cette découverte soulève des questions sur l'intégrité des chaînes logistiques des assembleurs de PC. Richard Domingues Boscovich, juriste à la division DCU (Digital Crimes Unit) de Microsoft, dresse un tableau peu réjouissant de la situation globale. Selon lui, les cybercriminels sont à l'affût et feront feu de tout bois. « Si la chaîne logistique constitue pour eux un moyen d'atteindre les ordinateurs, ils emprunteront cette voie. »

Diffusion rapide par les disques amovibles


L'Opération b70 s'est donc soldée par la fermeture du système C&C (commande et contrôle) connecté aux ordinateurs infectés par Nitol, le malware préinstallé découvert par Microsoft, capable de se diffuser rapidement par l'intermédiaire de disques amovibles.

En intervenant de façon radicale, Microsoft essaie d'arrêter à la source l'activité cybercriminelle, qui vise principalement les utilisateurs de Windows en raison de la diffusion mondiale de l'OS.    

En août 2011, des chercheurs de la Digital Crimes Unit (DCU) de Microsoft, qui enquêtent sur les cybercrimes, ont acheté vingt PC en Chine, dans des centres commerciaux informatiques de différentes villes.  

Photo : Richard Domingues Boscovich - Juriste à la division DCU de Microsoft (D.R)




Tous contenaient des versions contrefaites de Windows XP ou Windows 7, relate Richard Domingues Boscovich, juriste attaché à la DCU. « Trois ordinateurs contenaient des malwares inactifs, mais un quatrième recelait un malware actif, « Nitol.A », qui s'est éveillé lorsque l'ordinateur s'est connecté à Internet, » poursuit-il dans un billet publié la semaine dernière.

Nitol est un botnet qui existe en deux variantes, A et B. L'ordinateur concerné avait été fabriqué par Hedy, important constructeur basé à Guangzhou, en Chine, et il avait été acheté à Shenzhen. Les trois autres PC venaient aussi d'importants fabricants, ajoute Microsoft, sans préciser toutefois la marque. 

500 souches de malwares sur 70 000 sous-domaines


On pense que les ordinateurs ont été infectés après leur sortie d'usine. En Chine, de nombreux PC sont simplement livrées avec un DOS et l'OS est installé plus tard. « Quelque part dans le magasin ou dans la chaîne logistique, quelque chose s'est produit, » constate Richard Boscovich en ajoutant que les consommateurs occidentaux sont peut être moins touchés par ce genre de falsification, mais qu'ils peuvent assurément encourir ce risque s'ils téléchargent des logiciels sur Internet.

La découverte de ce malware a conduit Microsoft à approfondir son enquête sur le botnet Nitol, qui était contrôlé à travers le domaine « 3322.org ». Ce dernier était lié à une activité malveillante depuis 2008.

Il contenait plus de 500 souches de malwares hébergés sur près de 70 000 sous-domaines, révèle le juriste de Microsoft dans son billet. Le malware hébergé peut activer un ensemble de fonctions malveillantes, allant de la mise en route du microphone ou de la caméra vidéo d'un ordinateur jusqu'à l'enregistrement de la frappe au clavier.

Le 10 septembre, Microsoft a donc obtenu de la justice américaine de prendre le contrôle du domaine 3322.org.

L'éditeur a déposé une plainte au civil contre Peng Yong, qui détient ce domaine, et contre sa société Changzhou Bei Te Kang Mu Software Technology, également connue sous le nom de Bitcomm, et contre trois autres défenseurs non nommés. Une audition a été fixée au 26 septembre.

Selon Richard Boscovich, Microsoft aimerait que Peng Yong identifie les personnes qui ont enregistré les domaines malveillants, dans la mesure où les sites en question sont des sous-domaines du sien. « Nous essayons d'entrer en contact avec lui. Nous ne prétendons pas nécessairement qu'il est celui qui exécute le botnet ».




Le trafic nuisible est stoppé sans affecter le trafic légitime

Microsoft contrôle désormais 3322.org. Puisque ce domaine héberge aussi des sites autorisés, l'éditeur américain utilise le logiciel DNS de Nominum qui autorisera le trafic légitime vers les sous-domaines de 3322.org, mais il stoppera le trafic des 70 000 sites web nuisibles (un processus dénommé sinkholing -principe de l'entonnoir).  

Utiliser le DNS de cette façon constitue un nouveau type d'approche, explique Craig Sprosts, directeur général pour le haut débit fixe chez Nominum, qui délivre des services DNS à des opérateurs comme Verizon, Comcast et BT. L'avantage de cette méthode, c'est que les sites web qui ne font rien d'illégal continueront à fonctionner.

« L'opération est assez unique, » estime Craig Sprosts. « Il y a eu précédemment des domaines qui sont tombés, mais celle-ci s'apparent davantage à une frappe chirurgicale. » En ce qui concerne les ordinateurs infectés, Microsoft avisera les fournisseurs d'accès Internet ayant des clients affectés afin qu'ils puissent prendre des mesures pour débarrasser leurs ordinateurs des malware.

Microsoft coutumier des add-on non fonctionnelles et bogées

Vendredi dernier, la firme de Redmond a reconnu qu'elle avait dû réécrire 4 des 13 add-on de sécurité publiées lors du dernier Patch Tuesday. D'après le retour des utilisateurs, même une fois installées, les mi...

le 18/09/2013, par Gregg Keizer, adaptation Oscar Barthe, 463 mots

Google ne crypte pas efficacement les mots de passe Wi-Fi

Lorsqu'un utilisateur d'Android réalise une sauvegarde de son système, notamment en vue d'une réinitialisation de l'appareil, la firme de Mountain View accède immédiatement au clé de son réseau WiFi privé. Depu...

le 18/09/2013, par Oscar Barthe, 367 mots

2 millions de comptes clients de Vodafone Allemagne piratés

Un salarié travaillant pour un prestataire de Vodafone Allemagne est soupçonné d'être à l'origine du vol de données concernant deux millions de clients. Cette affaire n'est pas sans rappeler, par sa taille, l'a...

le 16/09/2013, par Serge LEBLAL, 364 mots

Dernier dossier

Le software-defined security (SDS) convient aux environnements virtualisés

Avec le SDS (software-defined security), la détection d'intrusion, la segmentation du réseau, les contrôles d'accès sont automatisés et contrôlés par le logiciel. Le SDS convient plus particulièrement aux environnements informatiques dépendants du cloud computing et des infrastructures virtualisées. Il prend en compte chaque nouveauté dans l'enviro...

Dernier entretien

Dan Pitt

directeur exécutif de l'ONF, Open Networking Foundation

« Nous nous sentons la responsabilité de conduire l'ensemble du mouvement SDN »