Google a annoncé avoir réussi à interrompre les activités du botnet Glupteba, même si cet arrêt semble seulement temporaire.
L'entreprise a également décidé de porter plainte contre plusieurs individus basés en Russie et soupçonnés d'être les opérateurs du botnet.
Des opérations coordonnées
Depuis 2011, le malware Glupteba se propage sur les PC Windows et forme désormais l'un des plus grands botnets connus à ce jour. Plus d'un million de PC sous Windows sont sous son contrôle dans le monde entier et jusqu'à un millier d'appareils se rajoutent au réseau chaque jour. Après avoir infecté un appareil, il l'utilise pour miner des cryptomonnaies, voler des identifiants et données à revendre, et déployer des proxies, dont les accès sont vendus par la suite à d'autres cybercriminels. Pour se propager, le malware se cache dans de faux cracks de logiciels sur des sites web ou utilise les réseaux d'affiliation PPI (Pay Per Install).
En enquêtant sur son fonctionnement, Google s'est aperçue que certains de ses services étaient utilisés par les criminels pour distribuer leur malware. Le Threat Analysis Group et le CyberCrime Investigation Group de Google se sont alliés et ont supprimé durant l'année 63 millions de Google Docs qui distribuaient Glupteba, 1 183 comptes Google, 908 projets Google Cloud ainsi que 870 comptes sur Google Ads. À l'aide de partenaires extérieurs, comme CloudFlare, ils ont pu s'employer ces derniers jours à mettre hors service des serveurs appartenant à des acteurs mal intentionnés et à mettre des pages d'avertissement devant les noms de domaine malveillants.
Une interruption seulement temporaire
Grâce à ces actions, l'entreprise pense avoir déstabilisé le fonctionnement et le contrôle exercé par les opérateurs sur le botnet… du moins pendant un temps. Car, pour protéger leur botnet, les criminels ont mis en place un mécanisme de secours basé sur la blockchain. Si leurs serveurs de commande et contrôle ne répondent pas, les systèmes infectés peuvent récupérer des instructions, chiffrées dans des transactions effectuées par les portefeuilles Bitcoin des hackers, pour se reconnecter. Cette façon de faire permettra au botnet de redevenir actif plus rapidement et rend les opérations visant à l'interrompre plus compliquées à effectuer.
Mais Google ne compte pas s'arrêter là. L'entreprise a annoncé avoir déposé une plainte contre 17 individus, dont deux sont explicitement nommés, basés en Russie et soupçonnés d'être les opérateurs du botnet. Elle espère ainsi créer un précédent qui « aidera à dissuader toute activité future ».