Google s’attaque au botnet blockchain Glupteba

Google a annoncé ce matin avoir perturbé l’infrastructure de commande et de contrôle de Glupteba un botnet adossé à la blockchain utilisé pour cibler les machines Windows.

Le vice-président de Google chargé de la sécurité, Royal Hansen, et la juriste Halimah DeLaine Prado ont annoncé dans un billet de blog mardi que le groupe d’analyse des menaces de la société (Threat Analysis Group, TAG) suivait Glupteba depuis des mois et avait décidé de prendre des mesures techniques et juridiques contre le groupe.

Une procédure juridique pour entraver les opérateurs

Google a déposé une plainte contre le botnet dans l’espoir de “créer une responsabilité juridique pour les opérateurs du botnet et de contribuer à dissuader toute activité future”.

“Après une enquête approfondie, nous avons déterminé que le botnet Glupteba implique actuellement environ un million d’appareils Windows compromis dans le monde entier, et se développe parfois à un rythme de milliers de nouveaux appareils par jour”, ont-ils écrit.

“Glupteba est connu pour voler les identifiants et les données des utilisateurs, pour miner des cryptomonnaies sur les hôtes infectés et pour mettre en place des proxys afin de canaliser le trafic Internet d’autres personnes via des machines et des routeurs infectés.”

Google a noté que, bien qu’ils aient été en mesure de perturber l’infrastructure de commande et de contrôle de Glupteba, les actions peuvent s’avérer temporaires compte tenu de “l’architecture sophistiquée du groupe et des actions que ses organisateurs ont prises pour maintenir le botnet, mettre à l’échelle ses opérations et mener des activités criminelles à grande échelle.”

Ils estiment que l’action en justice contribuera à compliquer les actions futures des opérateurs du botnet. L’action en justice cite directement Dmitry Starovikov et Alexander Filippov parmi les opérateurs, mais note que d’autres acteurs inconnus sont impliqués.

L’action en justice a été initiée dans le Southern District of New York et les deux personnes citées sont poursuivies pour fraude et abus informatiques, violation de marque déposée, et plus encore. Google a également demandé une ordonnance restrictive temporaire, dans le but de “créer une véritable responsabilité juridique pour les opérateurs”.

Des milliers de téléchargements par jour

Mais Google a également rappelé que l’utilisation par le groupe de la technologie blockchain a rendu le botnet plus résilient. Ils ont également noté que davantage d’organisations cybercriminelles profitent de la technologie blockchain, qui permet aux botnets de se rétablir plus rapidement en raison de leur nature décentralisée.

Shane Huntley et Luca Nagy, membres du groupe d’analyse des menaces de Google, ont expliqué dans un billet de blog que Glupteba est connu pour voler les identifiants et mots de passe des utilisateurs et les cookies, miner des cryptomonnaies sur les hôtes infectés, déployer et exploiter des composants proxy ciblant les systèmes Windows et les objets connectés.

” TAG a observé le botnet ciblant des victimes dans le monde entier, notamment aux États-Unis, en Inde, au Brésil, au Vietnam et en Asie du Sud-Est. La famille de logiciels malveillants Glupteba est principalement distribuée par le biais de réseaux de paiement par installation (PPI) et via le trafic acheté auprès de systèmes de distribution de trafic (TDS)”, ont expliqué les membres de l’équipe de Google.

“Pendant un certain temps, nous avons observé des milliers d’instances de téléchargements malveillants de Glupteba par jour. L’image suivante montre une page web imitant la page de téléchargement d’un crack logiciel qui délivre une variante de Glupteba aux utilisateurs au lieu du logiciel promis.”

L’équipe et d’autres personnes chez Google ont bloqué environ 63 millions de Google Docs ayant distribué Glupteba, 1 183 comptes Google, 908 projets Google Cloud et 870 comptes Google Ads associés à la distribution de ce malware. Environ 3,5 millions d’utilisateurs ont été alertés avant de télécharger un fichier malveillant grâce aux avertissements de Google Safe Browsing, selon Huntley et Nagy.

Le botnet s’appuie sur la blockchain

Ils ont également indiqué avoir travaillé avec CloudFlare sur les efforts de perturbation. Dans le cadre de son enquête, Google a utilisé les produits et services d’investigation Chainalysis pour enquêter sur le botnet.

Erin Plante, directrice principale des services d’enquête de Chainalysis, a déclaré à ZDNet que le botnet avait deux principaux liens avec les cryptomonnaies : le recours au cryptojacking et une tactique nouvelle visant à complexifier les opérations de demantelement.

Selon Plante, Glupteba a également utilisé la blockchain Bitcoin pour encoder les serveurs de commande et de contrôle (C2) mis à jour dans les champs Op_Returns des transactions enregistrées sur la blockchain. Cela signifie que chaque fois que l’un des serveurs C2 de Glupteba est fermé, il suffit aux ordinateurs infectés de scanner la blockchain pour trouver la nouvelle adresse de domaine du serveur C2, qui est ensuite dissimulée parmi les centaines de milliers de transactions Bitcoin quotidiennes dans le monde.

La plupart des techniques de démantèlement de botnets impliquent la désactivation des domaines de serveurs C2, ce qui rend cette tactique particulièrement difficile à contrer. Erin Plante a déclaré qu’il s’agissait du premier cas connu d’un botnet utilisant cette approche. La société Akamai avait pourtant détaillé une variante de cette technique en fevrier 2021, qui exploitait déjà la blockchain pour récuperer les adresses IP des serveurs de contrôle du botnet.

Elle a ajouté que l’enquête avait révélé des transactions de cryptomonnaies provenant de Federation Tower East, un immeuble de bureaux de luxe à Moscou où de nombreuses entreprises de cryptomonnaies connues pour blanchir des fonds criminels ont leur siège.

Source : “ZDNet.com”