Le réseau Avalanche, décrit comme la plus vaste infrastructure de contrôle de malwares, n’est désormais plus. C’est le résultat d’une opération internationale dont les préparatifs ont duré quatre ans. Cinq individus ont été arrêtés, de nombreux serveurs ont été saisis ou désactivés, et certains chiffres donnent la mesure de cet immense botnet.
Le réseau Avalanche – on ne sait pas vraiment d’où vient ce nom – existe depuis 2009. Il s’agit d’une plateforme complète de gestion des malwares, à travers des serveurs de commande et de contrôle (C&C) - un botnet. Il est lié à de nombreuses familles de logiciels malveillants comme Bolek, Citadel, CoreBot, Marcher, Nymain, Ranbuys, TeslaCrypt, Tiny Banker UrlZone ou encore Vawtrak. La liste complète est donnée par l'US-CERT.
Durant les premières années, le réseau a grandi, au point de culminer à environ un demi-million d’ordinateurs infectés. Avalanche était devenu un réseau de distribution de malwares, de spam et autres tentatives de phishing. Au plus fort de son activité, un million d’emails accompagnés de pièces jointes malveillantes étaient ainsi envoyés chaque semaine.
Des machines infectées dans plus de 180 pays
Ce n’est qu’en 2012 que l’affaire prend un nouveau tournant. Comme l’indique le communiqué d’Eurojust (pôle européen de la justice), l’Allemagne s’est penchée cette année-là sur la recrudescence des machines attaquées par un ransomware particulier. Plusieurs millions d’ordinateurs avaient ainsi été bloqués, et l’enquête est remontée jusqu’aux serveurs C&C d’Avalanche.
Une large coopération s’est alors mise en place entre les forces de l’ordre allemandes et anglaises, Europol, Eurojust, le FBI et le bureau du procureur de Pennsylvanie. Cette entente a donné lieu à une enquête qui a duré quatre ans et qui a abouti récemment à une opération de grande envergure. Elle s’est tenue le 30 novembre et a permis de mettre fin au réseau Avalanche.
Cinq personnes ont été arrêtées au terme d’une investigation qui a réclamé la participation d’enquêteurs et de procureurs dans plus de 30 pays. Elle a permis de mettre en évidence des foyers d’infection dans plus de 180 pays. 37 lieux ont été fouillés et 39 serveurs ont été saisis. 221 autres serveurs ont été mis hors ligne via l’envoi de notifications d’abus aux hébergeurs concernés.
Si l'enquête a été particulièrement longue, c'est également parce qu'Avalanche était organisé selon un modèle dit de « double flux rapide » (double fast flux). Avec une telle configuration, l'emplacement du nom de domaine et le serveur de nom (DNS) peuvent changer très rapidement.
Comme l'explique Eurojust, il s'agit d'une technique prisée des botnets, car elle permet une forte résilience face aux techniques d'investigation. Il suffit de changer d'hébergeur ou de registrar pour changer de juridiction. Multiplier ces changements, par exemple chaque jour, permet de rendre le réseau difficile à tracer, surtout pour les forces de l'ordre qui doivent se coordonner avec celles d'autres pays... Ce qui peut prendre habituellement des mois.
Plus de 830 000 noms de domaine mis hors service
Dans son communiqué, Eurojust indique que c’est la plus grande utilisation jamais enregistrée de « sinkholing » (littéralement entonnoir) contre une infrastructure de contrôle des malwares. Cette technique consiste à rediriger le trafic depuis les machines infectées vers des serveurs contrôlés par les forces de l’ordre. En tout, plus de 830 000 domaines ont été saisis, redirigés ou complétement bloqués. Pour mener à bien cette opération, un poste spécial de commandement avait été installé à la Haye, où Europol a son siège.
Durant l’ensemble de l’enquête, les deux instances européennes ont d’ailleurs servi de points de liaison entre toutes les parties. Europol a notamment épaulé les forces de l’ordre allemandes en aidant à l’identification des suspects et en facilitant le transfert des informations entre les agences impliquées. Eurojust, de son côté, a joué le rôle d’agent lubrifiant en accordant les inévitables différences juridiques entre les pays qui auraient pu enrayer la vaste machine.
L'impact financier d'Avalanche est difficile à estimer
Au-delà d’une amélioration notable de la sécurité du Net, la fin d’Avalanche est également celle des retombées financières de tous les malwares impliqués. En Allemagne uniquement, les attaques contre les systèmes bancaires en ligne ont causé plus de 6 millions d’euros de dégâts. Cependant, l’impact global, chiffré à plusieurs centaines de millions d’euros dans le monde, est difficile à chiffrer avec précision tant les malwares impliqués sont nombreux.
Comme le révèle en outre Europol, les malwares étaient accompagnés d'un système élaboré de « mules » dont la mission était de blanchir l'argent récolté frauduleusement. Il était ainsi réinvesti dans l'achat de biens divers, que l'agence ne précise pas.
Un succès incontestable mais...
Le résultat de l’opération est évidemment un immense succès pour les agences impliquées, et plus globalement pour la coopération internationale, l’extinction d’Avalanche prouvant qu’elle est possible en dépit des nombreuses barrières à surmonter.
Et pour l’heure, le temps est aux congratulations. Sir Julian King, commissaire européen à la sécurité de l’Union, a ainsi indiqué : « Avalanche montre que nous ne pouvons être victorieux dans notre combat contre le cybercrime que si nous travaillons ensemble, à travers les divisions et les frontières ». Michèle Coninsx, présidente d’Eurojust ajoute qu’aujourd’hui « marque un moment important dans la lutte contre le cybercrime organisé », tout en prouvant « l’importance pratique et stratégique d’Eurojust dans la promotion de la coopération internationale ».
... la lutte continuera
Il est important de noter que même si l’opération est un franc succès et donnera sans doute à réfléchir à quelques pirates, le phénomène des botnets ne va pas pour autant disparaître. Ce jeu du chat et de la souris est permanent : les techniques évoluent, les enquêtes continueront. Par ailleurs, la disparition d’Avalanche signifie celle de l’infrastructure de contrôle, pas celle des malwares toujours installés sur les machines.
Sur ce point, on signalera en particulier le billet de blog de Shadow Server au sujet de l’opération contre Avalanche, qui se termine par une liste assez exhaustive des outils mis en avant par les éditeurs de solutions de sécurité contre ces familles de logiciels malveillants. On trouve ainsi des utilitaires spécifiques proposés par Avira, BitDefender, ESET, Kaspersky, McAfee ou encore Symantec.
Enfin, précisons que cette opération a été menée en pleine Botconf, une conférence spécialisée en France. Des détails supplémentaires pourraient donc apparaître prochainement.
Commentaires (78)
Bravo à Eurojust 
" />
Participation de la gendarmerie français à l’opération = zero, trop occupée à la protection de nos “ayants-droit”
" />
omg enfin une opération utile
Au suivant!
maintenant qu’ils ont saisi les machines qui servaient à commander le botnet, ils vont l’utiliser pour leurs actions de police ?
un peu comme les voitures des trafiquants qui servent à la police.
The global effort to take down this network involved the crucial support of prosecutors and investigators from 30 countries. [/QUOTE]
[quote]Countries involved: Armenia, Australia, Austria, Azerbaijan, Belgium, Belize, Bulgaria, Canada, Colombia, Finland, France, Germany, Gibraltar, Hungary, India, Italy, Lithuania, Luxembourg, Moldova, Montenegro, Netherlands, Norway, Poland, Romania, Singapore, Sweden, Taiwan, Ukraine, United Kingdom and United States of America.
Sans oublier qu’Europol et EuroJust sont des agences européennes dont la France est membre et auxquelles elles envoient des agents.
Des fan de Final Fantasy 7 ?
rooooo si tu es réaliste aussi , c’est quand même plus drole un dredi de dire que les gendarme francais feraient mieux de s’attaquer aux botnet et au terroriste qu’à z-t… C’est bien connu que Tout les gendarmes travaillent uniquement sur une affaire a la fois!
" />
Par ailleurs, la disparition d’Avalanche signifie celle de l’infrastructure de contrôle, pas celle des malwares toujours installés sur les machines.
Pour moi ça résume vraiment tout…
Alors oui c’est bien, mais pour moi il n’y a pas assez d’efforts (législatifs surtout) dans la prévention des infections
Mais bon comme d’hab hein, la prévention c’est toujours “le truc cher qui rapporte pas”, dans tous les domaines
Les autorités compétentes ont dû commencer à s’en occuper quand quelques pontes du gvt allemand on commencé a voir des popups de ransonware apparaitre sur leur pc du “boulot” (ou celui de leur secrétaires)…
Pour le coup, les forces de l’ordre françaises ont bien participé à l’opération, on en a eu confirmation. 
" />
Lourd !
830 000 noms de domaine c’est juste énorme !
" />
J’imagine qu’ils les configuraient pas tous à la main m’enfin quand même, ça doit coûter un bras non ?
Ça fait changement de la chasse aux trackers torrent…
Pas vraiment. En fait, ils exploitent deux problèmes des registrars : les API que les bureaux d’enregistrement mettent en place pour les revendeurs (qui permettent de commander à la chaine) et les cartes bancaires volées. Par défaut, les registrars acceptent la commande avec la carte, un éventuel retour de la banque prenant au moins une journée ou deux. En attendant, le nom de domaine est exploitable sans problème.
Pour aller un peu plus loin sur la génération massive de noms de domaine par les botnets, j’avais écrit ceci il y a deux ans. Les problèmes restent malheureusement les mêmes.
Ça me fait chier de plus en plus les “TrollDredi” sur PCI. Déjà que la qualité des commentaires en semaine est très moyenne, à partir du vendredi ça devient Youtubesque.
Mais comme sur YouTube, parfois je divague et je me mets à lire les commentaires en espérant au fond de moi même trouver des informations pertinentes, des blagues drôles, des traits d’humour,… Espoir rapidement détruit par quelques habitués de l’humour bas niveau sortant les mêmes rengaines à coup de Pare-feu LibreOffice, Président Flamby et autres blagues potaches.
J’espère sincèrement qu’un jour on aura un classement des commentaires à en fil (à la Reddit ou Hackernews) avec possibilité d’upvoter ceux de qualité.
Est-ce qu’on a une idée un peu plus précise que “des millions” pour le nombre de machines infectées ?
" />
C’est fou quand même, cette logistique pour gérer le botnet
Des fois…. la réalité dépasse la fiction.
Bravo Europol et Eurojust.
+1 ! Super intéressant ! Merci
" />
Hé ben, je ne me souvenais plus de cet excellent article :)
hop, cet article + le tient transféré à mon RSSI (bon on a les listes d’alertes comme toute boîtes, mais des articles français de qualité, ca mérite de la pub :) )
Je suppose qu’ils ne veulent/peuvent pas profiter d’avoir le contrôle sur tout ça pour envoyer des alertes à toutes les machines infectés ou carrément de les planter ?
Cela fait plaisir de voir que les autorités policières ne sont pas dépourvues quand il s’agit de démanteler les réseaux criminels en ligne. Il n’en demeure pas moins regrettable de constater qu’un tel réseau de criminels ait perduré aussi longtemps, et que l’enquête ait réclamé autant de moyens et de temps.
Et pour l’heure, le temps est aux congratulations.
Oui, clairement. Bravo aux enquêteurs !
A quand la suppression du botnet qu’est windows ?
félicitations aux enquêteurs! c’est une excellente nouvelle!!
bravo, et maintenant vivement la suite. Boudiou que j’aimerais bosser dans ce milieu la, j’aurais le sentiment de servir à quelque chose… mais je suis pas qualifié.
un poste spécial de commandement avait été installé à la Hague La Haye , où Europol a son siège.
Avira, BitDefender, ESET, Kaspersky, McAfee ou encore Symantec…mouais
je tourne depuis 2 ans sans anti spam ou anti virus, aucun soucis ni ralentissement du PC.
J’avais un collègue de cours comme ça ^^ (ca remonte à plus de 10 ans)
Meuh non, ma machine tourne très bien, pas besoin de ça.
Apres que plusieurs autres aient étés infectés, on l’a forcé à en installer un ( le soir après les cours, les films, jeux et logiciels passaient de machines en machines ^^‘).
L’antivirus produisait un son dés qu’il détectait un virus. Sa machine n’a pas arrêtée de gueuler tout le long du scan ^^
Je pense que maintenant il y a un gros travail en amont pour limiter la diffusion de virus.
Mais bon, se protéger s’es aussi protéger les autres.
!!! Une coquille dans l’article :
Europol a son siège à la Haye au Pays-bas pas à la Hague dans le Cotentin.
Une centrale nucléaire c’est déjà beaucoup !
Faut pas déprimer comme ça, je vous prescrits 2 semaine de cure chez Clubic.
Vous nous reviendrez gonflé a bloc.
Moi j’utilise depuis presque un an Windows 10 Pro avec Windows Defender… je fais très attention sur internet de plus.
Vous pensez que Windows Defender est fiable ? d’après ce que j’en ai vu sur internet ça semble être le cas…
lol.2.dol a écrit :
J’espère sincèrement qu’un jour on aura un classement des commentaires à en fil (à la Reddit ou Hackernews) avec possibilité d’upvoter ceux de qualité.
+1
ca a existé pendant quelques jours au début de la nouvelle version du site puis malheureusement ils ne l’ont pas gardé
“Double flux rapide (double fast flux)” ça me laisse perplexe… Flux existe en anglais certes mais ne s’utilise jamais, on lui préfère “flow” à la place. Ça me surprend de voir ue expression anglophone utiliser ce mot.
plus de 6 millions d’euros de dégâts. Cependant, l’impact global, chiffré à plusieurs centaines de millions d’euros dans le monde (…)
Une goutte d’eau à coté des milliers de millions d’euros de manque a gagner du piratage de musique/vidéo.
(du moins, si on en croit les “victimes” du piratage)
Il ne passe même pas le test EICAR.
détecté:
echo X5O!P%@AP[4\PZX54(P^^)7CC)7}\(EICAR-STANDARD-ANTIVIRUS-TEST-FILE!\)H+H* >a.bat
pas détecté:
echo X5O!P%@AP[4\PZX54(P^^)7CC)7}\(EICAR-STANDARD-ANTIVIRUS-TEST-FILE!\)H+H*X5O!P%@AP[4\PZX54(P^^)7CC)7}\(EICAR-STANDARD-ANTIVIRUS-TEST-FILE!\)H+H* >a.bat
Il s’installe sur les OS “serveur” ?
Trop occupée à s’occuper des conséquences de la politique de Mme Taubira….
Derrière les congratulations, nous admettons que nous laissons à nos enfants un réseau totalement faillible, construit pour etre la proie du cyber crime (d’etat comme du crime organisé ou non)….. car nous n’avons aucun coupable identifié ni mis un terme au pratiques qui pourraient leur permettre de récidiver !
C’est magnifique !
Je me demande si c’est subjectif, mais le nombre de spams que je reçois a chuté drastiquement ces derniers jours…. Y aurait-il une relation de cause à effet ?
« Avalanche montre que nous ne pouvons être victorieux dans notre
" />
combat contre le cybercrime que nous travaillons ensemble, à travers les
divisions et les frontières ».
que SI nous… ?
le réseau Avalanche, ça sonne un peu CIA comme nom.mais ça peut pas etre eux, c’est pas leur genre de créer des botnets 
" />
Sir Julian King …
Tu m’étonnes que ça a mis 4 ans …
ce qui est génial c’est que certains botnet sont illégaux (avalanche, etc) et d’autres sont parfaitement légaux (ceux de la nsa etc)
La version gratuite est interdite sur les serveurs
" />
Système d’exploitation serveur non pris en charge
Nous sommes désolés, mais ce produit Avast ne peut pas être installé sur un système d’exploitation serveur.
C’est tout à fais perso mais par précaution je préfère limiter les risques .
même si encore une fois, le net semble avoir été bien épuré par rapport à il y a plusieurs années.
j’utilises eset security car il es assez complet avec part feu, messagerie et toute la troupe + le soft es bien paramétrable.
Même si on peut féliciter nos gardiens du temple qui lorsqu’ils collaborent savent répondre aux
menaces invisibles, ici il faut aussi éduquer les adeptes du just à clic, et tant que les gens restent convaincus que les AV et autres bidules de parades les protègent de leur irrassasiable just à clic
sans bouger plus de deux neurones, m’est d’avis que le business du
nuisible a encore de beaux jours devant lui.