Les pirates utilisent la blockchain pour créer des botnets à l’épreuve des balles

Un homme se tient devant une photo montrant les activités d'un soi-disant « botnet » lors d'un atelier sur l'informatique et la cybercriminalité.

Un homme se tient devant une photo montrant les activités d’un soi-disant « botnet » lors d’un atelier sur l’informatique et la cybercriminalité.
photo: BORIS ROESSLER / DPA / AFP (Getty Images)

La semaine dernière, Google a annoncé que il avait partiellement perturbé le fonctionnement d’un énorme botnet – un réseau massif de plus d’un million d’ordinateurs Windows infectés par des logiciels malveillants. Dans le monde de la cybersécurité, ce serait une nouvelle en soi, mais ce réseau particulier a utilisé un Intégration de blockchain qui le rend difficile à battre.

réseaux de zombies sont essentiellement des armées d’appareils “zombies” – des serveurs infectés par des logiciels malveillants et connectés à un réseau malveillant, qui peuvent ensuite être utilisés pour commettre des activités criminelles à grande échelle. La plupart des personnes dont les appareils ont été compromis et font partie d’un botnet n’ont aucune idée de ce qui s’est passé, et leurs ordinateurs fonctionnent essentiellement comme des complices involontaires de la cybercriminalité.

Dans ce cas particulier, l’organisation criminelle à l’origine du botnet serait une famille de logiciels malveillants connue sous le nom de « Glupteba ». La semaine dernière, le groupe d’analyse des menaces de Google (TAG) contexte publié sur le botnet Glupteba, montrant que le réseau a été utilisé pour extraire de la crypto-monnaie, également connue sous le nom de “cryptojacking. ” La puissance CPU détournée des masses et des masses d’appareils infectés a essentiellement agi comme du carburant de fusée gratuit pour les criminels, qui pourraient l’utiliser pour entreprise énergivore.

Il est donc clair que la perturbation de quelque chose comme ça est bonne. Mais comme c’est l’éternel problème Avec les botnets, le vrai problème n’est pas nécessairement de savoir comment désactiver des parties d’un réseau infecté, mais comment les empêcher d’entrer. En même temps que Google déclarait avoir perturbé Gluteba, il devait également admettre que le réseau infecté se rétablirait bientôt et retrouverait toute sa force grâce à un mécanisme de résilience innovant basé sur la blockchain Bitcoin.

Ce nouveau mécanisme basé sur la crypto-monnaie, qui a longtemps été théorisé sur bien que pas nécessairement vu à l’état sauvage auparavant, pourrait être un nouveau territoire malheureux pour les cybercriminels, les rendant de plus en plus résistants aux perturbations causées par les forces de l’ordre.

Un problème évolutif

Le principal problème pour tout cybercriminel souhaitant utiliser un botnet est de savoir comment garder le contrôle de ses hordes zombifiées.

Les botnets sont généralement définis être contrôlé par une seule partie centralisée, communément appelée « botmaster » ou « calomniateur ». Les bergers utilisent ce qu’on appelle un commandement et contrôle (C2) serveur : une machine qui envoie des instructions à toutes les machines infectées et agit essentiellement comme le standard principal pour les criminels de contrôler leurs zombies. Les bergers peuvent diriger à grande échelle via les C2 campagnes malveillantestels que le vol de données, les attaques de logiciels malveillants, ou, dans le cas de Glupteba, le cryptojacking.

Mais pour gérer ses troupeaux, le bot master a besoin d’un canal pour rester connecté et leur donner des commandes – et c’est là que les choses peuvent se compliquer. De nombreuses infrastructures de botnet C2 utilisent des protocoles Web tels que HTTP, ce qui signifie qu’ils doivent être connectés à un domaine Web spécifique pour rester en contact avec leur troupeau. Le domaine agit comme le portail du C2 vers Internet et donc le vaste réseau d’appareils infectés.

Cependant, comme il n’est pas si difficile de supprimer un site Web, cela signifie que les C2 – et donc les botnets eux-mêmes – peuvent être perturbés assez facilement. Les agents des forces de l’ordre peuvent les supprimer en désactivant uniquement les domaines associés au C2, soit en obtenant le fournisseur DNS, comme Cloudflare, pour bloquer l’accès, ou en trouvant et en confisquant vous-même un domaine.

Pour contourner ce problème, les criminels ont de plus en plus cherché des moyens innovants de rester connectés à leurs troupeaux de robots. En particulier, les criminels ont essayé d’utiliser des plateformes alternatives, telles que les médias sociaux ou, dans certains cas, Tor, pour agir en tant que hubs C2. UNE étude 2019 par le MIT Internet Policy Research Initiative souligne que certaines de ces méthodes ont eu un succès modéré, mais ne durent généralement pas longtemps :

Plus récemment, les botnets ont expérimenté des mécanismes C&C ésotériques, y compris les médias sociaux et les services cloud. Le cheval de Troie Flashback a récupéré des instructions à partir d’un compte Twitter. Whitewell Trojan a utilisé Facebook comme point de rencontre pour rediriger les robots vers le serveur C&C… Les résultats ont été mitigés. Les administrateurs réseau bloquent rarement ces services car ils sont omniprésents et le trafic C&C est donc plus difficile à distinguer. D’autre part, les canaux C&C sont à nouveau centralisés et des entreprises comme Twitter et Google s’y attaquent rapidement.

Ce qui se passe souvent, c’est un jeu de coups entre la police et les criminels, où la police renverser à plusieurs reprises domaines ou toute autre infrastructure Web utilisée, uniquement pour que les mêmes criminels reconstruisent et relancent le botnet via un support différent.

Pourtant, Glupteba semble avoir changé la donne : selon Google et d’autres analystes de la sécurité qui ont enquêté sur les activités du gang, l’entreprise criminelle semble avoir trouvé le moyen idéal pour se désensibiliser aux perturbations. Comment? En tirant parti de l’infrastructure inviolable de Bitcoin blockchain.

Pare-balles via Blockchain

Pour les cybercriminels, la question de savoir comment rester connecté à leurs robots peut être résolue en créant un mécanisme de sauvegarde. Si le serveur C2 principal et son domaine obtiennent Une fois le logiciel malveillant supprimé par la police, le logiciel malveillant sur les appareils infectés peut être conçu pour rechercher sur Internet un autre domaine C2 de sauvegarde, ce qui ramène ensuite l’ensemble du réseau infecté à la vie.

En règle générale, les criminels codent en dur ces domaines Web de sauvegarde dans le logiciel malveillant lui-même. (Cryptage dur est la pratique d’intégrer des données directement dans le code source d’un programme particulier.) De cette façon, le botmaster peut enregistrer des masses de sauvegardes. En fin de compte, cependant, il y a une limite à l’efficacité de cette stratégie. À un moment donné, le botnet manquera de nouvelles adresses, car seule une quantité limitée peut être encodée dans le malware.

Dans le cas de Glupteba, cependant, le gang a complètement contourné ce problème : au lieu de coder en dur les domaines Web dans le malware, ils y ont codé en dur trois adresses de portefeuille Bitcoin. Avec ces adresses, Glupteba a réussi à établir une interface à toute épreuve entre ses bots et son infrastructure C2 grâce à une fonctionnalité peu connue connue sous le nom de “OP_Retour. ”

L’OP_Return est une caractéristique controversée des portefeuilles Bitcoin qui : permet de saisir du texte arbitraire dans les transactions. Il fonctionne essentiellement comme l’équivalent crypto de Le champ “mémo” de Venmo. Glupteba a tiré parti de cette fonctionnalité en l’utilisant comme canal de communication. Le malware sur les appareils infectés est conçu pour que si l’un des serveurs C2 du botnet se déconnecte, les appareils scannent la blockchain publique Bitcoin pour les transactions liées aux portefeuilles de Glupteba. Dans ces portefeuilles, les cybercriminels peuvent saisir en permanence de nouvelles adresses de domaine via le champ OP_Return, qui sont reconnues par le botnet et redirigées vers eux.

analyse de la chaîne, une société d’analyse de blockchain, a joué un rôle clé en aidant l’équipe de sécurité de Google à enquêter sur tout cela. Dans une interview avec Gizmodo, Erin Plante, directrice principale des enquêtes et des programmes spéciaux de l’entreprise, a déclaré que l’utilisation de la blockchain par les criminels pose des défis uniques et potentiellement insurmontables pour les forces de l’ordre.

“Lorsque le botnet perd la communication avec un domaine C2 – généralement parce qu’il y a une sorte d’action d’application de la loi – le botnet sait comment analyser l’ensemble de la blockchain Bitcoin publique et rechercher des transactions entre ces trois adresses Bitcoin”, a déclaré Plante. En d’autres termes, chaque fois qu’un domaine C2 est supprimé, Glupteba peut se réassembler automatiquement à l’aide d’une nouvelle adresse de domaine envoyée via les portefeuilles cryptographiques du gang.

La nature décentralisée de la blockchain signifie qu’il n’y a pas vraiment de moyen de bloquer ne peut pas passer par ces messages ou désactiver les adresses cryptographiques associées, a déclaré Plante. En effet, en tant que passionnés de crypto souvent souligné, la blockchain est considérée comme « non censurée » et « à l’épreuve de la fraude » car elle n’a pas d’autorité ou d’entité de gestion globale. En tant que tel, personne ne peut éteindre les lumières sur l’activité maléfique de Glupteba.

Glupteba peut-il être arrêté ?

Alors que faire? À l’heure actuelle, les options ne sont pas excellentes, a déclaré Shane Huntley, directeur de l’équipe TAG de Google.

“Ce mécanisme de sauvegarde est très résistant”, a déclaré Huntley dans un e-mail à Gizmodo. “Tant que les attaquants ont les clés des portefeuilles, ils peuvent laisser le botnet rechercher de nouveaux serveurs.”

Plante semble tout aussi pessimiste. “C’est certainement un modèle qui, s’il est répliqué sur un ransomware ou une autre activité cybercriminelle, est une possibilité effrayante”, a-t-elle déclaré. « À ce stade, d’ailleurs en supprimant un seul domaine C2 et en le réexécutant quelques jours plus tard, personne n’a trouvé le moyen d’arrêter cela. »

Huntley a déclaré qu’il y avait probablement d’autres exemples de criminels utilisant la blockchain de cette manière, mais la pratique n’était certainement pas considérée comme “commune” à ce stade.

“Le facteur atténuant, cependant, est que lorsqu’ils le feront, ce sera public et d’autres mesures pourront être prises”, a déclaré Huntley, se référant à la nature publique implicite de la blockchain. En raison du format ouvert, Huntley a déclaré que l’équipe chargée des menaces de Google était en mesure de continuer à suivre les transactions des criminels. « Nous avons déjà vu qu’ils ont acheminé le botnet vers de nouveaux serveurs et que ces serveurs ont également été mis hors ligne. »

En d’autres termes, le botnet continuera d’exister tant que les pirates souhaiteront le mettre à jour. UNEet professionnels de la sécurité devra suivre ses mises à jour jusqu’à ce que les pirates abandonnent ou soient appréhendés dans la vraie vie.

Leave a Comment