Connexion
Abonnez-vous

Linux/Moose : plongée dans un botnet de routeurs et le « marché de l’ego » sur Instagram

Un élan, ça trompe énormément

Linux/Moose : plongée dans un botnet de routeurs et le « marché de l'ego » sur Instagram

Le 04 janvier 2017 à 15h00

Infecter des routeurs pour créer de faux comptes sur Instagram et revendre les abonnements. Tout en restant extrêmement discrets. C'est tout l'objectif du botnet Linux/Moose, qui redouble d'ingéniosité pour échapper aux radars et qu'une équipe montréalaise a étudié de près, de sa technique au marché qu'il alimente.

À quoi peut ressembler le « crime parfait » sur Internet ? Pour les chercheurs québécois Masarah Paquet-Clouston et Olivier Bilodeau de GoSecure, le botnet Linux/Moose est ce qui s'en rapproche le plus. Après six mois d'étude début 2016, ils ont présenté leurs résultats à la conférence Botconf, organisée le mois dernier à Lyon. Linux/Moose est un animal particulier, qui infecte des objets connectés peu sécurisés et les utilise pour générer de faux « J'aime » et abonnements sur les réseaux sociaux, revendus à des personnes ou entreprises en mal de notoriété.

Pour l'équipe, il s'agit d'un crime sans victime directe, qui se donne l'apparence d'une activité légitime. D'un côté, le réseau d'objets zombies fait tout pour être discret, quitte à sacrifier sa stabilité. De l'autre, les faux comptes sont conçus pour être les plus humains possibles, et sont vendus via des canaux imitant des boutiques en ligne classiques. Ces opérations peinent d'ailleurs à attirer l'attention des autorités, regrettent les chercheurs, avec lesquels nous avons parlé.

L'intérêt de leur étude est qu'elle plonge à la fois dans les méandres techniques du réseau de zombies et dans sa finalité commerciale. Le botnet infecte des objets, chargés ensuite de créer de faux comptes sur des réseaux sociaux, qui servent à la revente de suivis et de « J'aime » sur des sites spécialisés. L'occasion de regarder de plus près qui sont les vendeurs et les clients, et d'évaluer l'efficacité des méthodes des robots pour passer inaperçus sur ces services.

Linux/Moose, un réseau souterrain difficile à pénétrer

Ce n'est pas la première rencontre entre Olivier Bilodeau et Linux/Moose. Il avait étudié le botnet début 2015, pour ESET, avec une couverture publique assez importante pour que le réseau soit mis en pause. La nouvelle version est arrivée à la fin de la même année, avec un logiciel remanié. L'étudier n'est pas mince affaire : l'outil n'infecte que certains matériels sous Linux avec processeur ARM, le trafic entre chaque appareil et le serveur de contrôle est chiffré, et la liste des serveurs pouvant piloter les objets infectés est limitée.

Pour s'infiltrer, l'équipe a mis en ligne des machines virtuelles ressemblant comme deux gouttes d'eau à des équipements vulnérables. Il s'agit d'objets connectés sous Linux avec BusyBox, une connexion possible via Telnet et des identifiants par défaut. Ce sont en majorité des routeurs, accompagnés d'appareils comme des enregistreurs TV. Une fois intégré au réseau, chaque bot tente d'en enrôler d'autres, en testant tous les identifiants possibles.

À ce stade, « le fait que le trafic soit chiffré nous a empêché de comprendre ce qui se passait. Nous savions qu'il venait de réseaux sociaux grâce au nom commun indiqué dans les certificats de sécurité et à quelques requêtes en texte clair » affirme Olivier Bilodeau. Le trafic de chaque bot vers ces services est transmis via un proxy, fondé sur SOCKS.

Pour déchiffrer les communications, l'équipe a d'abord tenté d'obtenir le trafic TLS en clair via sslstrip, ce qui a échoué. Après l'essai d'autres outils, une attaque de l'homme du milieu (MITM) a été privilégiée, via le logiciel mitmproxy. Les chercheurs se sont intercalés entre les bots et Internet via un faux certificat, ressemblant à celui d'un produit de sécurité. Une méthode qui génère tout de même des erreurs visibles, qui peuvent éveiller des soupçons.

« Nous nous sommes dits qu'Internet est une telle pagaille que les opérateurs du botnet devaient recevoir beaucoup d'erreurs TLS, donc qu'ils ont dû désactiver la vérification. Nous avons eu assez de chance pour que cela marche » déclare Bilodeau. Une astuce qui a permis aux chercheurs d'obtenir le trafic en clair, à partir d'une erreur humaine : celle d'accepter des appareils au certificat erroné.

Des bots taillés pour la discrétion

Linux/Moose se comporte donc jusqu'ici comme un botnet relativement classique. Il infecte des objets connectés avec des identifiants simples à deviner, puis s'étend d'appareil en appareil. Pourtant, les précautions prises pour ne pas éveiller les soupçons sont nombreuses.

Le malware n'est disponible que sur des machines à processeurs ARM, ce qui rend son analyse difficile. « Cela fait des années que j'étudie des échantillons sur des systèmes Linux embarqués. La plupart ont une version x86, à l'exception de Linux/Moose. Nous pensons qu'il s'agit d'éviter d'être détectés et de rendre plus compliquée la rétro-ingénierie » estime encore Olivier Bilodeau.

Autre mesure : Linux/Moose ne survit pas à un redémarrage. Pourquoi ? GoSecure a constaté que certaines mises à jour changeaient la gestion de la mémoire, ce qui induit que le malware faisait sûrement planter des routeurs. En restant incrusté avec un tel bogue, un routeur infecté redémarrerait donc en boucle, attirant l'attention. Mieux vaut donc le faire planter une fois et disparaître, pour en reprendre le contrôle par la suite. « Nous pensons qu'ils évitent soigneusement la persistance pour rester sous les radars » interprète Bilodeau.

Linux Moose GoSecure
Crédits : GoSecure

Le logiciel s'adapte aussi aux découvertes des chercheurs. « Après notre article ESA [en 2015], les développeurs du botnet ont pris leur été et ont retiré des signes d'infection que nous avions publiés » affirme encore l'expert. Les adresses IP ne sont plus écrites en dur dans le code, mais demandent de monter un pot-de-miel pour trouver les serveurs. Il est maintenant impossible de scanner tout le réseau pour évaluer sa taille, le proxy de chaque bot n'étant accessible que depuis une liste blanche d'adresses IP. Le port du proxy a aussi changé, et l'enrôlement de nouveaux appareils est plus strict.

GoSecure ne sait pas combien d'administrateurs compte Linux/Moose, malgré quelques indices : sept adresses IP en liste blanche pour le contrôle des bots, sept interfaces web et au moins trois langues utilisées (anglais, espagnol et néerlandais).

Au cœur des faux profils sociaux et de la course à l'humanité

Au-delà de la technique, la prudence des responsables de « Moose » passe par leur mode opératoire. « Le botnet ne pratique pas de fraude publicitaire, de DDoS ou de spam, donc rien de manifestement illégal ou contre lequel Google lutte. Ils essaient de faire quelque chose dont tout le monde se fiche : du trafic de likes et d'abonnements sur Instagram » remarque Bilodeau. Sur l'ensemble des requêtes captées, 86 % étaient dirigées vers le réseau social dédié à la photo.

Ces faux abonnements et fausses interactions reposent sur des comptes factices, gérés par les bots. Il faut donc que chaque machine infectée crée de fausses adresses email (chez Gmail et Yahoo!) et autant de profils dont le réseau a besoin. Début 2016, créer un compte était déjà assez difficile, avec des suspensions immédiates de profil. 89 % de ces abonnements aboutissent tout de même. « Il est possible qu'Instagram détectait nos bots parce qu'ils étaient dans le cloud » et non chez un particulier, nous précise Masarah Paquet-Clouston. Depuis juin, le contrôle s'est encore renforcé, avec l'ajout d'un numéro de téléphone.

C'est surtout a posteriori qu'Instagram agit contre cette fraude. Ces bots passent la majorité de leur temps à agir comme des humains, en consultant leur fil d'actualité, leurs messages privés, une liste de personnes avec qui discuter, etc. Ces actions représentent 87 % des requêtes, et doivent éviter le couperet des filtres anti-spam au moment de suivre un nouveau compte. 

Linux Moose répartition réseauxLinux Moose actions Instagram
Crédits : GoSecure

Pourtant, pendant l'étude, 72 % des 1 732 faux comptes créés ont été suspendus. « Cela veut dire que l'acheteur obtiendra bien ses suivis, mais que dans six mois, il les perdra tous. Il faut donc revenir en acheter. Linux/Moose fait peu d'efforts pour masquer les faux comptes, avec de fausses photos, aucun abonné ou en étant suivi par des personnes sans description » détaille Masarah Paquet-Clouston.

Pour disposer de comptes pérennes, une solution serait de pirater des profils de vrais internautes. Mais cela irait à l'encontre de la philosophie du botnet, qui est de rester sous les radars. Mieux vaut donc des comptes éphémères, qui fournissent le service demandé... Pour un temps limité seulement.

Un « marché de l'ego » pour particuliers et (petites) entreprises

Les comptes suivis par les bots sont ceux d'entreprises sans vrai budget marketing (magasins, magazines, restaurants...), ceux de sociétés centrés sur une personne (par exemple contant la vie « luxueuse » d'un webdesigner) et, sans surprise, de personnes en mal de notoriété (chanteurs, vlogueurs...). Pour GoSecure, il s'agit d'un « marché de l'ego » où la popularité apparente se monnaie.

L'achat de suivis, de « J'aime » ou de commentaires passe par des places de marché qui ont pignon sur rue, accessibles depuis les moteurs de recherche. « Nous avons trouvé des centaines, voire milliers de sites qui vendent du factice sur des réseaux sociaux (Facebook, Google+, Twitter...) » affirme Paquet-Clouston. Si la création des faux comptes passe par un système caché, la vente se fait bien au grand jour. 

Sur l'ensemble des réseaux étudiés, Instagram est de très loin celui sur lequel obtenir 10 000 abonnés coûte le moins cher (112 dollars en moyenne), quand LinkedIn est le plus coûteux (plus de 700 dollars). Facebook, lui, se situe en milieu de tableau.

Pourquoi cet écart ? « Peut-être parce qu'il y a plus d'offre sur Instagram, avec plus de botnets et une création facile de comptes. L'authentification en deux étapes est arrivée il y a peu, comme la vérification des adresses email » nous détaille Paquet-Clouston. « Il y a aussi ce que LinkedIn représente. Cela peut donner des emplois. Avoir plus de 500 connexions sur LinkedIn est déjà beaucoup. On n'en a pas besoin de 25 000, donc chaque connexion coûte plus. »

Prix faux abonnés réseaux sociaux Botconf
Crédits : GoSecure

Des réseaux semble-t-il très rentables

Selon les chercheurs, le marché est encore immature, avec de grandes variations de prix selon les vendeurs. 10 000 abonnés peuvent ainsi coûter deux dollars, bien loin de la moyenne à plus de 100. « Ils ne connaissent pas la valeur de leur service. Soit ils surfacturent, soit ils sous-facturent. Donc ils tâtonnent » explique l'équipe.

Selon ses calculs, chaque machine infectée rapporterait en moyenne 13,05 dollars par mois. Elle a pris le nombre de suivis moyen par les bots sous leur main (1 186 par mois), multiplié par le prix moyen pour 10 000 abonnés (112,67 dollars). « Si quelqu'un a 30 000 bots, il peut gagner 400 000 dollars par mois. C'est beaucoup. S'il ne monétise que la moitié des abonnements, il peut toujours gagner 200 000 dollars par mois » indiquent les chercheurs.

Il n'est pas sûr que tous les suivis soient monétisés, ni qu'une seule personne pilote le réseau, ni que tous les abonnements vendus par les fraudeurs proviennent d'un réseau zombie comme Linux/Moose. « Il y a trois possibilités [pour obtenir des faux comptes] : les vrais comptes piratés, les botnets et les fermes de clics. Les deux derniers sont difficiles à différencier. J'aurais tendance à dire que l'utilisation d'un botnet est sûrement beaucoup plus efficace que le reste » nous explique Masarah Paquet-Clouston.

Un service client étonnamment réactif

Face aux clients, les vendeurs de faux abonnés tentent avant tout de se donner une apparence de normalité, jusqu'au service client. Pour le prouver, les chercheurs ont monté un faux compte Instagram de photographe, pour lequel ils ont acheté quelques milliers d'abonnés. Fournis en un week-end, ils ont disparu quelques jours plus tard. L'occasion de réclamer leur remplacement au vendeur. 

« Je lui ai demandé de me fournir de nouveaux abonnés, en prétextant un concours photo. Il m'a très rapidement répondu qu'il en ajoutait » affirme la spécialiste. Le compteur de followers a rapidement regrimpé, pour tomber une nouvelle fois quelques jours plus tard. « À la deuxième demande, il m'a répondu qu'il en ajoutait d'autres, mais que les abonnés n'étaient pas éternels » poursuit-elle. Il a finalement arrêté de répondre à la troisième réclamation.

« Ils ont un très bon service client, au coût minime. Si vous allez sur ces sites, vous verrez qu'il y a beaucoup de chat en ligne direct [pour rassurer]. Il y a tout de même une limite, dans le sens où ils vont accepter de faire un geste au début, mais vont arrêter de vous parler quand vous en demandez trop » nous indique encore Masarah Paquet-Clouston. Par ailleurs, « les sites de vente expliquent l'importance d'avoir des abonnés, des réactions... Il faut que le service apparaisse légitime au consommateur, qui ne sait pas qu'il encourage la criminalité. »

In fine, « cela ressemble au crime parfait sur Internet, où des gens exploitent un botnet sans attirer l'attention. Linux/Moose est si parfait qu'en six mois d'étude, nous n'avons pas réussi à éveiller l'intérêt des forces de l'ordre ou des hébergeurs » regrette l'équipe québécoise. Elle souhaite tout de même collaborer avec les autorités et des acteurs privés, notamment pour débusquer les serveurs de contrôle. « Nous voulons aussi publier deux articles plus scientifiques, en plaçant l'idée de l'adaptation criminelle puis du marché de la fraude aux réseaux sociaux » nous affirme enfin Paquet-Clouston.

Commentaires (26)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Superbe article, merci pour l’info.



Et merci aux chercheurs, c’est très intéressant, dommage que tout le monde s’en moque…



Cela dit le fait de voir que peut de jours après l’achat les comptes disparaisse prouve que les algos détections sont quand même efficaces.

votre avatar

Très bel article !

votre avatar

Article très intéressant, merci.





Je me dis que sur un service comme Youtube, une telle activité est rentable pour tous. Car ce sont les 2 premiers jours qui font (le buzz et) les vues.

votre avatar

Merci à vous pour l’article ainsi qu’aux chercheurs qui ont dû bien se “marrer” pour ce botnet. Nul doute que ceux qui l’ont développé sont très talentueux.

votre avatar

Pffff les mots de passe par défaut <img data-src=" />



Pffff les couillons qui achètent ce genre de trucs (limite du scam) <img data-src=" />



En tout cas bel article <img data-src=" />



Edit : Ha je suis pas le seul à avoir apprécié l’article <img data-src=" /> Guénaël

votre avatar

Super intéressant, merci <img data-src=" />

votre avatar

Super article, je ne me doutai pas d’un tel marché noir dans ce domaine. Merci Guénaël :)

votre avatar

les mecs ont trouvé LE filon de la cyber-sécurité dont tout le monde se fout. s’ils arrivent à faire du blé avec ça et qu’ils s’en tirent, GG les mecs.

bon après pour les petits enfants, c’est pas glorieux:

“dans mon temps, on avait créé un botnet de routeurs linux pour mettre des poce bleu sur les vidéos de machinTV”

votre avatar







Minikea a écrit :



“dans mon temps, on avait créé un botnet de routeurs linux pour mettre des poce bleu sur les vidéos de machinTV”





“On a dit aux gens que c’était une expérience sur un algorithme et ils y ont cru” <img data-src=" />


votre avatar

Il n’y a pas de CAPTCHApour s’inscrire sur les Facebook-Instagram-Twitter-Snapchat ?



J’ai l’impression d’en voir à chaque fois que je m’inscris sur un site web 2.0 (ou alors existe-t-il des botnet qui comprennent les CAPTCHA?)

votre avatar

Il y en a bien sur certains. À cette question, il m’a été répondu que c’était tout de même contourné. Après, je ne saurais pas dire comment.

votre avatar

Intéressant

votre avatar

Fakebook..

Instagerbe…

Twittos…



Tout dans le paraître et dans le complètement inutile au même instar que photoshop…



Aujourd’hui plus rien n’est réel et ne se vaut…



même une personne “famous” soit disant si elle à du fric peux s’acheter une fausse réputation le temps de la faire gonflée suffisamment pour ne plus avoir besoin de recourir à ces méthodes …



Le monde actuel est devenu pitoyable…



Comment on a pu dériver à ce point de l’utilisation d’internet …

votre avatar

Le culte de l’individualise, le “moi je” d’abord, la superficialité, etc.



La stupidité des gens aussi, “Kim kakachiant n’a utilisé que 2 feuilles de PQ” = 10.000 Like !

votre avatar

”…Ces opérations peinent d’ailleurs à attirer l’attention des autorités”&nbsp;



&nbsp;Vu le nombres de politiques qui&nbsp;achètent&nbsp;des faux likes/followers ca risque pas de s’arrêter de si tôt.

votre avatar

Y a aussi des services de “botnet” d’humains pour résoudre des captcha. &nbsp;Exemple&nbsphttp://www.zdnet.com/article/inside-indias-captcha-solving-economy/

votre avatar

Comme ca :&nbsphttp://www.zdnet.com/article/inside-indias-captcha-solving-economy/ &nbsp;Avec des humains bien sûr :)

votre avatar

100% d’accord…



Assez souvent c’est la solution de facilité…

Genre soit disant on garde le contact avec facebook, oué, en général c’est je balance les infos, et chacun lit quand il veut et basta.

Super comme contact…



Le pire c’est que si on ne suit pas tout ça on est hazbeen et totalement largué, de plus en plus d’élément sont facebook only pour avoir des infos etc total on se retrouve assez souvent bloqué…

votre avatar

l’humain est pathétique… affligeant

votre avatar

Tres bon article, merci !

Mais le constat est affligeant…

votre avatar

J’en connais un qui n’a pas fait une affaire : 15k euros les 7500 abonnés…

http://www.developpez.com/actu/98855/Le-politicien-Christian-Monteil-utilise-un-…

votre avatar

Sur les forums ReactOS, il y a l’excellent areyouahuman basé sur des jeux. Mais les mecs passent quand même.

votre avatar

C’est un peu comme si un restaurant achetait des clients qui ne consomment rien pour remplir la terrasse, ces derniers pouvant être évacués par la police à la moindre suspicion d’être un épouvantail, dégageant ainsi de l’espace illégitimement occupé, et laissant finalement le restaurateur sans le sou.



C’est inutile et parfaitement superficiel…



Excellent article !

votre avatar

Bon article qui montre un phénomène peu connu=&gt; <img data-src=" />

votre avatar

Super intéressant, je regrette pas de m’être abonné&nbsp;<img data-src=" /> !

Les mecs ont effectivement l’air talentueux, et vu le marché qu’ils exploitent c’est assez difficile de leur en vouloir.

Cela dit, je me demande si cela restera longtemps aussi “simple” d’infecter autant d’objets connectés: autant dans le cas de Moose l’impact des bots reste limité, autant certains malwares qui exploitent aussi la faible sécurité de l’Internet of Things ont des impacts beaucoup plus spectaculaires sur le trafic internet, et du coup ça pousse à l’adoption par les constructeurs de meilleures pratiques de sécurité (quitte à “obliger” l’utilisateur à en supporter la mise en place, par exemple).

votre avatar

Tu rigoles mais dans la restauration quand il n’y a personne on met le personnel en terrasse pour provoquer un “effet mouton” donc c’est connu depuis la nuit des temps comme principe.

Bien vu la comparaison du coup! <img data-src=" />

Linux/Moose : plongée dans un botnet de routeurs et le « marché de l’ego » sur Instagram

  • Linux/Moose, un réseau souterrain difficile à pénétrer

  • Des bots taillés pour la discrétion

  • Au cœur des faux profils sociaux et de la course à l'humanité

  • Un « marché de l'ego » pour particuliers et (petites) entreprises

  • Des réseaux semble-t-il très rentables

  • Un service client étonnamment réactif

Fermer