Operation Endgame : démantèlement d’un gigantesque réseau de botnets malveillants

L'infrastructure démantelée aurait permis d'infecter des millions de systèmes informatiques, et à l'un de ses responsables d'amasser près de 70 millions d'euros en crypto-monnaies. Quatre suspects ont été arrêtés, huit autres vont être rajoutés à la liste des personnes les plus recherchées d'Europe.

Europol annonce la saisie de plus de 2 000 noms de domaine, le démantèlement de plus de 100 serveurs ayant facilité des attaques par rançongiciels et autres logiciels malveillants, 16 perquisitions et l'arrestation de quatre cyberdélinquants (un en Arménie et trois en Ukraine), « dont 3 par les autorités françaises », précise le Parquet de Paris.

Huit fugitifs russes liés à ces activités criminelles, recherchés par l'Allemagne, ont en outre été ajoutés à la liste des personnes les plus recherchées (« Most Wanted ») d'Europe.

L'opération, « initiée et dirigée par la France, l'Allemagne et les Pays-Bas » et qu'Europol qualifie de « la plus grande opération jamais menée » de ce type, fait suite au démantèlement réussi du système de logiciels malveillants Emotet en 2021, précise l'Unité de coopération judiciaire de l'Union européenne (Eurojust), et certains des suspects avaient d'ailleurs déjà participé à l'exploitation d'Emotet dans le passé.

• Botnets : des centaines de serveurs d’EMOTET saisis par la police

Signe de l'importance de cette « Operation Endgame », Europol et ses partenaires y consacrent même un site web dédié, qui souligne que les réseaux de botnets démantelés « comprenaient des millions de systèmes informatiques infectés » :

« De nombreuses victimes n'étaient pas conscientes de l'infection de leur système. Les pertes financières que ces criminels ont causées aux entreprises et aux institutions gouvernementales sont estimées à des centaines de millions d'euros. »

Ces botnets sont associés à « au moins quinze groupements de rançongiciels », ont précisé l’Office fédéral de police criminelle allemand et le parquet de Francfort dans un communiqué conjoint cité par Le Monde.

« Cette opération, on voulait la faire avant les Jeux olympiques » de Paris, a fait savoir Nicolas Guidoux, le chef de l’Office anticybercriminalité de la police judiciaire (OFAC), qui a coordonné l’opération côté français.

Les communiqués ne précisent pas comment les infrastructures ont été identifiées. Tout juste apprend-on, dans celui d'Eurojust, que « grâce à des techniques dites de "sinkholing" ou à l'utilisation d'outils permettant d'accéder aux systèmes des opérateurs à l'origine des logiciels malveillants, les enquêteurs sont parvenus à bloquer et à démanteler les réseaux de zombies ».

En 2014, le CERT-FR précisait que le DNS sinkholing (littéralement « trou d'évier DNS ») ou DNS blackhole (« trou noir DNS »), est une « technique utilisée principalement dans la lutte contre les programmes malveillants » :

« Le principe est de rediriger les noms de domaine malveillants vers un ou plusieurs serveurs non maîtrisés par les attaquants, afin d'empêcher les postes compromis de recevoir des commandes. »

IcedID, SystemBC, Pikabot, Smokeloader & Bumblebee