Des chercheurs ont entraîné l’éradication de Grum, le troisième réseau de zombies en importance au monde, qui envoyait des milliards de pourriels chaque jour.
Dans un billet de blogue publié par FireEye, un éditeur de solutions de protection contre les logiciels malveillants, le chercheur Atif Mushtaq raconte comment un effort concerté de chercheurs a permis l’éradication en quelques jours d’un réseau de zombies (botnet en anglais), actif depuis 2008, qui comptait quelque 120 000 adresses IP.
Ces adresses IP étaient liées à centaines de milliers d’ordinateurs et de serveurs qui, à l’insu de leurs propriétaires, auraient envoyé jusqu’à 18 milliards de pourriels chaque jour. Ce réseau de zombies servait aussi à exécuter des attaques en déni de service envers des sites Web.
Le 9 juillet, M. Mushtaq a publié dans un billet de blogue les coordonnées de huit serveurs de commande et de contrôle (CnC). Il s’agissait de trois serveurs de niveau primaire, dont deux étaient situés à Panama et un troisième en Russie. L’un des serveurs à Panama était en état de suspension ou d’abandon. Également, le chercheur a publié les coordonnées de cinq serveurs de niveau secondaire qui étaient situés aux Pays-Bas, dont trois étaient suspendus ou abandonnés.
Le 17 juillet dernier, M. Mushtaq indiquait dans un billet de blogue que les deux serveurs secondaires situés aux Pays-Bas avaient été désactivés grâce à l’intervention des autorités de ce pays. Toutefois, les fournisseurs de service Internet ou les colocateurs qui étaient responsables des serveurs principaux en activité à Panama et en Russie n’auraient pas répondu aux requêtes d’intervention de la communauté de chercheurs en logiciels malveillants.
Dans un nouveau billet de blogue, publié le 18 juillet, M. Mushtaq a indiqué que le serveur principal à Panama avait été désactivé par un fournisseur de service Internet, à la suite de pressions de la communauté internationale en sécurité informatique. Toutefois, M. Mushtaq a dit qu’il a pu constater, en direct devant sa console à l’écran, que les exploitants du serveur principal en Russie remplaçaient les serveurs secondaires des Pays-Bas par six nouveaux serveurs en Ukraine.
M. Mushtaq explique qu’il a partagé de nouvelles informations avec trois autres chercheurs reconnus et un chercheur anonyme, qui ont relayé ces informations à des contacts en Russie et en Ukraine. Le 18 juillet, à 11 heures du matin (heure du Pacifique), les serveurs malveillants en Russie et en Ukraine étaient désactivés, ce qui a mis fin à l’existence de Grum.
M. Mushtaq précise que le serveur russe n’a pas été mis hors service par le fournisseur d’accès Internet auquel il était liée, mais par l’intervention d’un fournisseur d’accès Internet qui était situé en amont.
Répercussions estimées
Dans le plus récent billet de blogue qui relate les actions entreprises envers le réseau Grum, M. Mushtaq évoque des statistiques de la firme Spamhaus qui affirme que le nombre d’adresses IP qui envoyaient du spam est passé de plus de 120 000 à 21 505 dès la mise hors service du réseau de zombies.
Selon M. Mushtaq, les adresses IP encore actives devaient cesser d’envoyer des pourriels lorsque prendraient fin les derniers « mandats » qu’ils avaient reçus des serveurs principaux et secondaires du réseau Grum. Selon un article publié par CNN, Spamhaus aurait affirmé ce jeudi que toutes les adresses IP restantes avaient cessé d’envoyer des pourriels.
Dans un de ses billets de blogue, M. Mushtaq citait l’organisme M86Security qui estimait récemment que le réseau de zombies était responsable de l’envoi de 17,8 % du trafic de pourriels à travers le monde. En janvier, Grum aurait été responsable de 33,3 % des pourriels du monde entier, mais il aurait été déclassé par un autre réseau de zombies nommé Cutwail.
Le billet http://money.cnn.com/2012/07/19/technology/grum-spam-botnet/index.htm racontant la fin de Grum peut être consulté dans le blogue de FireEye.