Comment Google bataille contre le botnet Glupteba qui exploite la blockchain
Les équipes de chercheurs en cybersécurité de Google ont pris plusieurs mesures pour paralyser temporairement le botnet Glupteba. Ce réseau de machines zombies est toutefois très résilient grâce à son architecture exploitant la blockchain Bitcoin.
Google a annoncé avoir pris des mesures pour perturber les opérations de Glupteba, un botnet à plusieurs composants ciblant les ordinateurs Windows. Ce réseau de machines zombies (PC et serveurs infectés servant de relais) a la particularité d'exploiter la blockchain pour assurer la résilience de son infrastructure.
Un million d'appareils compromis
Dans un billet de blog, les équipes du groupe d’analyse des menaces de Google ont déterminé que le botnet Glupteba compte actuellement environ un million d'appareils Windows compromis dans le monde, et qu'il se développe parfois au rythme de milliers de nouveaux appareils par jour. Ce botnet vole des identifiants et des données utilisateurs, notamment pour miner des crypto-monnaies sur les hôtes infectés et pour mettre en place des proxys afin de faire transiter le trafic internet d'autres personnes par des machines et des routeurs infectés. Les victimes sont dispersées dans le monde entier. Le botnet se répand en particulier via des fichiers et annonces en ligne, gérés par de faux comptes.
Poursuites judiciaires
Les chercheurs de Google précisent avoir mis hors service l'infrastructure de commande et de contrôle du botnet. Environ 63 millions de Google Docs, 1’183 comptes Google, 908 projets cloud et 870 comptes Google Ads associés à la distribution de Glupteba ont en outre été identifiés et supprimés. En parallèle, Google a intenté une action en justice contre deux personnes, qui seraient situées en Russie, pour avoir opéré le réseau et ses diverses activités criminelles. Il s'agit selon la firme des premières poursuites judiciaires contre un botnet exploitant la blockchain.
La blockchain Bitcoin au service de la résilience du réseau de zombies
Les équipes d’analyse des menaces de Google admettent que leurs actions ne vont pas mettre un terme aux activités de Glupteba, qui se sert de son architecture blockchain pour rapidement reprendre le contrôle de son réseau. «La communication de commande et de contrôle (C2) de ce botnet utilise HTTPS pour communiquer les commandes et les mises à jour binaires entre les serveurs de contrôle et les systèmes infectés. Pour renforcer la résilience de leur infrastructure, les opérateurs ont également mis en place un mécanisme de sauvegarde utilisant la blockchain Bitcoin. Dans le cas où les serveurs C2 principaux ne répondent pas, les systèmes infectés peuvent récupérer les domaines de sauvegarde cryptés dans la dernière transaction», expliquent les chercheurs en cybersécurité de Google.
