Bonne nouvelle pour les administrateurs réseau et mauvaise nouvelle pour les pirates : les autorités américaines ont récemment coupé l’herbe sous le pied de quatre botnets massifs qui terrorisaient Internet.

Ce qui a été démantelé

Dans une opération coordonnée, le ministère de la Justice des États-Unis, avec la Defense Criminal Investigative Service du ministère de la Défense, a neutralisé quatre botnets qui servaient à lancer des attaques par déni de service distribué. Les noms impliqués : JackSkid, Mossad, Aisuru et Kimwolf.

  • Les quatre réseaux contrôlaient collectivement plus de 3 millions d’appareils.
  • Aisuru et son dérivé Kimwolf totalisaient à eux deux plus d’un million d’appareils.
  • Aisuru infectait des DVR, des équipements réseau et des webcams. Kimwolf ciblait surtout des appareils Android, des téléviseurs connectés et des boxes TV.
  • En novembre dernier, la combinaison Aisuru + Kimwolf a généré une attaque DDoS de 31,4 térabits par seconde pendant 35 secondes, un record par rapport aux attaques précédentes.
  • Ces botnets étaient proposés à la location, ce qui permettait à d’autres cybercriminels d’acheter leur puissance pour attaquer des cibles, notamment des services de jeux en ligne.

Comment l’opération a procédé

Les autorités ont retiré les serveurs de commande et de contrôle qui organisaient ces armées d’appareils compromis. L’opération a été menée aux États-Unis avec une coopération mentionnée avec des partenaires au Canada et en Allemagne, qui ont ciblé des individus soupçonnés d’opérer ces réseaux.

Aucune arrestation n’a été annoncée publiquement au moment de l’annonce, mais les autorités ont indiqué que des actions internationales avaient eu lieu pour identifier et viser les opérateurs.

Techniques et dangerosité

Tous les botnets détruits sont des variantes de Mirai, le code source initial qui, depuis 2016, a servi de base à de nombreuses familles de botnets pour objets connectés. Ces variantes ont évolué et atteint des appareils que Mirai n’avait pas pu atteindre au départ.

  • Kimwolf exploitait ce que les chercheurs appellent des « proxies résidentiels », des gadgets bon marché connectés à Internet qui servaient de point d’entrée vers des réseaux domestiques et permettaient d’infecter des machines habituellement protégées derrière un routeur.
  • Les opérateurs ont utilisé des méthodes avancées pour résister aux contre-mesures, comme déplacer certains services de résolution pour éviter la prise de contrôle de leurs serveurs de commande.

Chad Seaman, chercheur principal en sécurité chez Akamai, a indiqué que cette capacité à franchir la sécurité des réseaux domestiques avait remis en question la notion même de « réseau domestique sûr » et qu’une partie de la lutte avait ressemblé à un jeu du chat et de la souris entre chercheurs et opérateurs.

Un problème qui n’est pas résolu pour autant

Même si ces quatre botnets ont été démantelés, les spécialistes préviennent que d’autres groupes mettront probablement au point de nouvelles versions. Les codes et techniques se réinventent vite, et l’écosystème des DDoS évolue sans cesse.

Le ministère de la Justice a rappelé l’engagement des États-Unis à protéger les infrastructures critiques d’Internet et à lutter contre les cybercriminels, quel que soit leur lieu de résidence. Les efforts se poursuivent pour identifier et poursuivre les responsables.

Résultat pratique : moins de puissance de feu pour les attaques DDoS aujourd’hui, mais vigilance et coopération internationale restent nécessaires pour empêcher la prochaine génération de botnets.