L’arrivée des botnets dans l’univers informatique change pratiquement la donne en termes de protection contre les virus. Il faut savoir qu’un botnet désigne un groupe d’ordinateurs infectés et contrôlés par un hacker à distance. Ce phénomène se répand de plus en plus et se retrouve au centre des préoccupations de la Botconf (conférence internationale sur la lutte contre les botnets). Fort heureusement, c’est au début même de cette conférence que l’agence européenne Europol annonce le démantèlement d’un grand réseau de botnet connu sous le nom d’Andromeda (ou Gamarue).
Un démantèlement bien orchestré
Europol se place en chef d’orchestre avec l’Allemagne et les États-Unis (qui mettent en place des investigations de grande envergure via leurs autorités) et s’unit avec de grands acteurs privés tels que Microsoft et Eset pour venir à bout du botnet Andromeda. Pour la petite histoire, en 2016 un botnet du nom d’Avalanche a été démantelé par Europol. Heureusement pour l’agence, le même système d’exploitation se retrouve dans la plupart des botnets. C’est ainsi que grâce aux informations récupérées lors de la première enquête sur Avalanche, le second botnet Andromeda a été découvert et démantelé plus rapidement. Il a d’ailleurs été démontré par Europol que le malware Avalanche a été réexploité par les cybercriminels à l’origine d’Andromeda, ce qui a facilité l’investigation de l’agence. Malgré les difficultés rencontrées pour empêcher les actions malveillantes des cybercriminels, l’association entre Europol, les autorités allemandes et américaines ainsi que l’investigation des principales cibles du danger comme Microsoft et Eset ont permis de trouver un suspect potentiel, ce qui a fait avancer les enquêtes de manière significative.
Un botnet à louer
Le plus grand risque que posait Andromeda était que ses opérateurs proposaient leur malware en location. Bien qu’habituellement un botnet soit considéré comme une entité unique, le danger de celui qui nous intéresse ici, c’est qu’il est mis à la disposition, monnayant de l’argent, à tous ceux qui veulent l’obtenir. Donc, il était possible de retrouver des sources différentes partout dans le monde pour le même virus. Avec Andromeda, les cybercriminels ont eu la possibilité de diffuser plusieurs types de malware, ce qui pourrait rendre leur détection plus difficile. Ainsi, les ordinateurs ont été infectés via de simples phishings en ligne par e-mail, mais aussi en utilisant une simple clé USB contenant le malware. La force de l’attaque résidait dans le fait qu’une fois le virus opérationnel, il restait indétectable tout en désactivant les protections de base de la machine. Avec le progrès de l’informatique, les cybercriminels compliquent de plus en plus la tâche des entités de protection comme Europol. Il faut savoir que le but d’un botnet, quel qu’en soit le type, est principalement d’empêcher un site ciblé de fonctionner en y envoyant une quantité énorme de trafic pour le faire crasher. Après investigation, Microsoft déclare que 2 millions d’adresses IP uniques ont tenté de joindre des noms de domaine saisis par Europol. Ce qui revient à dire que c’est le nombre de machines infectées. Avec une telle envergure, Europol a pris la décision de continuer sur un mois la surveillance de certains noms de domaine pour identifier les machines qui sont encore sous l’emprise du botnet.