Le botnet Bamital démantelé par une opération conjointe Microsoft/Symantec
Des millions de dollars via des réseaux publicitaires parallèles
Le 07 février 2013 à 09h40
4 min
Logiciel
Logiciel
Microsoft et Symantec ont annoncé avoir démantelé un botnet nommé Bamital. L’opération menée conjointement a concerné notamment la déconnexion de deux serveurs responsables de la redirection de millions de clics vers des réseaux d’annonceurs publicitaires parallèles.
Un malware qui changeait continuellement de forme
Dans un billet explicatif sur l’un des blogs de Microsoft, on apprend que la firme, aidée de Symantec, a pu mettre à bas un botnet d’un genre un peu particulier. Habituellement en effet, ces structures de plusieurs dizaines ou centaines de machines (voire de millions) sont les « esclaves zombies » d’une entité directrice. Pour la ou les personnes aux commandes d’un tel maillage de machines, un seul bouton permet d’exploiter la puissance disponible pour générer du spam ou déclencher des attaques par déni de service (DDoS) contre des serveurs.
Le malware Bamital a cependant évolué au fil du temps, changeant radicalement autant de méthode que de finalité d’exploitation. C’est d’ailleurs ce qui l’aurait rendu si difficile à détecter si l’on en croit le responsable juridique de Microsoft, Richard Boscovich : « Le malware se transformait de long en large, il a donc été difficile d’identifier les cibles ». Il a donc fallu attendre une fenêtre pour avoir l’opportunité de découvrir le pot aux roses.
De l'injection HTML à la simple redirection
Les deux sociétés ont dû attendre plus exactement que les mutations s’arrêtent. La surveillance de Bamital datait en effet de plus de trois ans. Mais au cours de cette période, les attributs ont largement été modifiés. Ainsi, dans ses premières versions, le vecteur d’attaque du malware était le navigateur web de l’utilisateur. Une fois le malware en place, des iframes étaient systématiquement injectées dans toutes les pages web visitées, ce qui permettait de charger le contenu voulu par les auteurs.
Ces injections HTML ont été remplacées dans les dernières variantes du malware par un mécanisme plus simple, plus direct et potentiellement plus lucratif. Via n’importe quel clic en effet sur une page de recherche, l’utilisateur était renvoyé sur les serveurs contrôlés par Bamital. De là, des redirections HTML permettaient d’orienter l’utilisateur vers des réseaux parallèles de publicités.
Deux serveurs repérés dans des centres de données
Et c’est précisément parce que le malware a cessé d’évoluer et est resté sous cette forme que Microsoft et Symantec ont pu intervenir. Ils ont ainsi pu repérer les fameux serveurs C&C (Command & Control) et ont obtenu un mandat délivré par une cour d’Alexandria (Virginie, États-Unis). L’un des deux serveurs faisait partie d’un centre de données appartenant à la société ISPrime (New Jersey) et a été saisi. L’autre appartenait à la société LeaseWeb et était également situé dans un centre de données. Bien que LeaseWeb ait gardé le serveur, une copie intégrale des données stockées a été transmise à Microsoft et Symantec.
Au plus fort de son règne, Bamital permettait de récoler via ces deux serveurs jusqu’à trois millions de clics par jour. Vikram Thakur, l’un des principaux responsables de la sécurité chez Symantec, indique que même avec une estimation très prudente de 0,1 % de taux de transformation pour les publicités, le réseau était capable de générer un million de dollars par an. Il indique par ailleurs que l’estimation pourrait être finalement double ou triple.
La légalité des réseaux publicitaires parallèles en question
L’une des conséquences intéressantes est que les deux firmes savent désormais précisément comment les victimes étaient attaquées. Cela a permis à Microsoft de mettre en place une redirection pour se substituer aux anciens réseaux publicitaires. Elle envoie les utilisateurs vers une page pour les informer du problème et leur proposer des outils gratuits pour désinfecter leurs machines. L’éditeur note par ailleurs que la présence de Bamital s’explique dans la grande majorité des cas par des systèmes et navigateurs qui n’ont pas été mis à jour, laissant des brèches ouvertes aux exploitations (ce que faisait précisément Bamital).
Il reste maintenant à examiner les données, car plusieurs points ont encore besoin d’éclaircissement. C’est le cas notamment des publicités elles-mêmes, car ni Microsoft ni Symantec ne peuvent encore dire la vraie nature de ces réseaux parallèles (vraies publicités pour des faux produits, médicaments interdits, etc.).
Le botnet Bamital démantelé par une opération conjointe Microsoft/Symantec
-
Un malware qui changeait continuellement de forme
Commentaires (10)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 07/02/2013 à 09h50
Et rien sur les auteurs/ propriétaires de ce malware ?
Les sociétés à qui appartenaient ces 2 serveurs sont elles impliquées ou bien cela s’est fait à leur insu ?
Le 07/02/2013 à 09h54
Il est probablement trop tôt pour le savoir…
Le 07/02/2013 à 09h56
Cela a permis à Microsoft de mettre en place une redirection pour se substituer aux anciens réseaux publicitaires pour les remplacer par les siens, qui ont l’avantage d’être neufs.
" />
nan je déconne " />
Le 07/02/2013 à 10h30
Au plus fort de son règne, Bamital permettait de récoler
" />
L’éditeur note par ailleurs que la présence de Bamital s’explique dans la grande majorité des cas par des systèmes et navigateurs qui n’ont pas été mis à jour, laissant des brèches ouvertes aux exploitations.
Interface chaise-clavier, encore…
Le 07/02/2013 à 10h32
Le 07/02/2013 à 10h44
N’ayant jamais joue a ca, je ne fais qu’imaginer ce qui suit ; notre societe actuelle ne manque pas de failles.
Etant donne les benefices generes (je ne crois pas du tout aux 0,1% mais quand bien meme), les encaissements sont forcemment “securises”, de compte numerote a compte numerote, “physique” ou en ligne, avec generation d’identites et utilisation de boites postales…
Acceder a un compte numerote est deja une galere administrative, mais plusieurs dizaines ou centaine(s) est impossible.
Une petite illustration : je cree 10 comptes en ligne sur freelancer ou paypal par exemple + 2 comptes physiques numerotes (sous deux identites), je transfere les gains directement sur un compte en ligne que je vide vers un autre et ainsi de suite. A la fin, j’arrive sur un premier compte physique que je vide a un certain pourcentage regulierement et transfers sur l’autre compte.
–> Catch me if you… are a medium " />
Ca vous parait coherent ? " />
Le 07/02/2013 à 12h33
Le 07/02/2013 à 14h33
Petite correction sur la news" />
serveurs C&C (Command & Control)Conquer
" />
" />
Le 07/02/2013 à 15h59
vraiment pas idiot leur système (même si ultra-limite)… je ne sais pas si je n’aurais pu que penser à un tel machin " />
Le 08/02/2013 à 10h31
1 de moins… et dans le même temps 748937489374982347 nouveaux….
" />