En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business
Applis, logiciels
Produits
Télécoms
Sécurité
Culture, médias
Politique, droits
Technos
Buzz, société
Jeux
Science, recherche

Grum, le troisième plus important botnet est hors d'état de nuire

Les experts en sécurité informatique de FireEye ont détruit Grum, le troisième plus important botnet au monde, responsable de 18 % du spam global.

laisser un avis
Grum... ce n’est ni le cri d’un ours, ni le murmure du geek resté trop longtemps assis devant son clavier. C’est le nom d’un des botnets spammeurs les plus virulents du moment. Il est responsable de 18 % du trafic de spam mondial, soit environ 18 milliards de spams quotidiens ! Et c’est aussi l’un des plus anciens encore en activité : sa création remonte à 2008.
Selon Atif Mushtaq, responsable du projet d’éradication de Grum au sein de FireEye, société spécialisée dans la sécurité informatique, la stratégie qu’il a mise en place, conjointement avec SpamHaus – une société britannique qui œuvre dans la traque de spams sur le Net –, a fini par payer « au prix de nombreux efforts individuels » : Grum a vécu.

Partie d'échecs à l'échelle planétaire

Comme de nombreux botnets, sa diffusion est basée sur des serveurs disséminés sur la planète et des milliers de PC « zombies » qui reçoivent leurs instructions pour servir de relais d’envoi. La bataille qu’a coordonnée Atif Mushtaq ressemble à une partie d’échecs planétaire.

Deux types de serveurs CnC [Command and Control, les serveurs qui contrôlent les PC « zombies » et leur envoient des instructions, NDLR] ont été repérés par les chercheurs en sécurité. Deux d’entre eux étaient situés aux Pays-Bas et se chargeaient d’indiquer aux PC « zombies » les spams qu’ils devaient envoyer. Deux autres serveurs, chargés de mettre à jour les informations de configuration sur le réseau de PC infectés, ont été identifiés au Panama et en Russie.
Dans un premier temps, les deux serveurs néerlandais ont été rapidement mis hors d’état de nuire avec l’aide des autorités locales. Ainsi, une bonne partie des PC « zombies » se sont retrouvés « orphelins » et, sans instructions reçues, sont devenus inactifs. Le 17 juillet 2012 au matin, le serveur panaméen a à son tour été détruit. « Avec la disparition de ce dernier, c’est tout un pan de Grum qui s’est écroulé définitivement », rapporte le chercheur de FireEye. D’une part, une partie des ordinateurs infectés ne recevaient plus les ordres et il était désormais impossible de mettre leur configuration à jour pour qu’ils soient à nouveau fonctionnels.

Malin comme un hacker...

A ce stade, les équipes ont estimé qu’il ne restait plus qu’à éliminer le serveur russe. Mais les cybercriminels avaient plus d’un tour dans leur sac : les deux serveurs néerlandais avaient déjà été remplacés par six nouvelles machines situées, cette fois-ci, en Ukraine. Cette destination « virtuelle » est particulièrement appréciée des pirates du Net qui y entreposent leurs serveurs, car les autorités sont réputées lentes à réagir et il est compliqué de les déloger.
Atif Mushtaq a immédiatement partagé cette découverte avec ses homologues de Spamhaus et du CERT-GIB (une société russe spécialisée dans la cybersécurité) ainsi qu’avec un chercheur anonyme du nom de Nova7. Dans la nuit du 17 au 18 juillet, leurs actions réunies appuyées par l'intervention des FAI et des autorités locales, sont venues à bout des six serveurs ukrainiens et du « centre de commandes » situé en Russie. Fin de la partie : Grum est officiellement mort.
Selon les données fournies par la firme SpamHaus, sur les 120 000 adresses IP de PC « zombies » répertoriées, seules, 21 505 subsistaient après l’opération. Atif Mushtaq précise par ailleurs que toutes les machines ne servaient pas à l’envoi de spam et ce dernier chiffre, bien qu’important, doit correspondre en fait aux ordinateurs hébergeant les sites promotionnels des pirates vers lesquels renvoyaient les spams.
Et de conclure : « Tous les botnets de spam qui avaient leurs serveurs hébergés aux Etats-Unis ou en Europe ont migré vers des pays comme le Panama, la Russie ou l’Ukraine, imaginant que personne n’irait les déloger de ces endroits confortables. Nous avons prouvé qu’ils avaient tort. Continuons à rêver d'une boîte aux lettres électronique sans spam. »
envoyer
par mail
imprimer
l'article
@01net sur
à lire aussi
SUR LES MÊMES THÈMES
La chute du botnet Rustock a diminué d’un tiers le volume de spams
Et si Bitcoin était un botnet cryptographique créé par la NSA ?
Microsoft, le FBI et Europol démantèlent un énorme Botnet
« Les beaux jours » du spam de masse sont derrière nous !
Le chanteur James Blunt a spammé des millions d'internautes
Microsoft et le FBI prennent d’assaut les botnets Citadel
Un cheval de Troie pirate les comptes Facebook
Yes Profile redonne le pouvoir au consommateur
Wordpress brutalement cyberattaqué par des milliers de PC zombies
Un hacker crée un botnet pour faire un « recensement de l’Internet »
Un botnet Android envoie du spam par SMS
Des logiciels zombies dans des PC Windows contrefaits
Un botnet transforme les smartphones Android en spammeurs
Facebook : éliminez les spams [MAJ]
Le centre hospitalier de Lavaur filtre ses messages dans le cloud
Le botnet Flashback met à mal le sentiment d’invulnérabilité sur Mac
Microsoft s’attaque à la famille de botnets Zeus
GMail : contrôlez l'antispam
Microsoft va partager sa veille de sécurité