A l’occasion de la conférence RSA de San Francisco, l’éditeur de sécurité Finjan a annoncé la découverte d’un réseau de machines zombies (ou botnet) d’environ 1,9 million de postes exclusivement sous Windows XP. Dans la découverte de ce réseau, ce n’est pas le nombre de machines infectées qui est remarquable mais plutôt les détails donnés sur ce botnet par l’éditeur sur le blog de son centre de recherche.
Les experts en sécurité de Finjan ont en effet localisé le serveur central, qui commande le réseau de machines infectées, en Ukraine. Ils ont même eu accès à son interface d’administration. « Le serveur dispose d’une belle application de back-office, qui permet facilement aux attaquants de contrôler les machines infectées. L’une des fonctions de la console d’administration que nous avons identifiée est un éditeur de lignes de commande, à travers lequel on peut envoyer des instructions aux PC zombies », est-il écrit sur cette page.
Les chercheurs donnent ensuite un exemple d’utilisation de cette interface et détaillent les commandes (…) permettant d’envoyer vers les machines infectées un cheval de Troie, encore peu détecté par les antivirus (seuls 4 sur 39 seraient capables, selon eux, de le repérer). Les pirates auraient apparemment un contrôle total sur les PC infectés par ce botnet et de nombreuses possibilités de nuisance : enregistrement des saisies du clavier, lecture des e-mails, copie de fichiers, etc.
Un business à 190 000 dollars par jour
Selon Finjan, ce botnet est actif depuis le mois de février 2009 et serait opéré par six personnes situées en Ukraine, qui pourraient en tirer jusqu’à 190 000 dollars par jour à la location. Le réseau dispose d’une progression virale très forte, le faisant croître d’heure en heure.
La plupart des machines infectées sont situées aux Etats-Unis (45 %), où 77 noms de domaines gouvernementaux auraient été contaminés. En France, environ 57 000 PC zombies seraient enrôlés dans ce réseau, ce qui correspond à 3 % de l’ensemble du botnet.
Botnet réseau de PC zombies Finjan
merci à Benoit Minvielle – Hirschmann pour cette information