Les forces de l’ordre américaines ont démantelé l’infrastructure utilisée par un botnet russe responsable de la compromission de millions d’ordinateurs et d’appareils connectés à Internet dans le monde.
Les cybercriminels ont déjà payé le botnet « RSOCKS » pour tirer parti des appareils piratés afin de mener des attaques de bourrage d’informations d’identification à grande échelle, dans le cadre desquelles les informations d’identification volées sont automatiquement introduites dans les pages de connexion en ligne.
Selon un département américain de la Justice (DoJ) communiqué de presse publié hier (16 juin), ils ont également utilisé les adresses IP réquisitionnées pour s’anonymiser lorsqu’ils accèdent à des comptes de réseaux sociaux compromis ou envoient des e-mails de phishing malveillants.
Tarification flexible
Le botnet RSOCKS a loué les adresses IP des appareils compromis à des cybercriminels à des tarifs journaliers, hebdomadaires et mensuels via un site Internet clair (par opposition au dark web).
Les «clients» devaient payer entre 30 dollars par jour pour l’accès à un pool de 2 000 ordinateurs proxy et 200 dollars par jour pour l’accès à 90 000 proxys, a déclaré le DoJ.
Une enquête, qui a également impliqué des organismes chargés de l’application de la loi au Royaume-Uni, en Allemagne et aux Pays-Bas, a déterminé que les attaquants avaient utilisé attaques par force brute – un terme générique désignant les techniques de prise de contrôle de compte par essais et erreurs – pour compromettre les appareils.
Les organisations de victimes comprennent une université, un hôtel, un studio de télévision et un fabricant d’électronique, ainsi que des entreprises à domicile et des particuliers, a déclaré le DoJ.
Le DoJ a déclaré que le botnet ciblait initialement les appareils de l’Internet des objets (IoT) et s’est ensuite diversifié dans le piratage des appareils Android et des ordinateurs de bureau.
Achat sous couverture
L’infrastructure utilisée pour alimenter le botnet a été supprimée après une opération d’infiltration du FBI pour acheter sur le site infâme en 2017. Cette transaction a identifié environ 325 000 appareils compromis dans le monde.
Avec le consentement des victimes, les enquêteurs ont remplacé les appareils compromis par des ordinateurs «pot de miel» contrôlés par le gouvernement à trois endroits et tous les trois ont ensuite été compromis par RSOCKS, selon le DoJ.
« Les cybercriminels n’échapperont pas à la justice, quel que soit l’endroit où ils opèrent », a déclaré l’avocat américain Randy Grossman. « En travaillant avec des partenaires publics et privés du monde entier, nous les poursuivrons sans relâche tout en utilisant tous les outils à notre disposition pour perturber leurs menaces et poursuivre les responsables. »
L’agent spécial du FBI en charge, Stacey Moy, a déclaré: «Cette opération a perturbé une organisation de cybercriminalité hautement sophistiquée basée en Russie qui a mené des cyber-intrusions aux États-Unis et à l’étranger.
« Notre lutte contre les plateformes cybercriminelles est un élément essentiel pour assurer la cybersécurité et la sûreté aux États-Unis. Les actions que nous annonçons aujourd’hui témoignent de l’engagement continu du FBI à poursuivre les acteurs étrangers menaçants en collaboration avec nos partenaires internationaux et du secteur privé.