Passer au contenu

Ces pirates ont utilisé les bitcoins pour tenter de rendre leur botnet indestructible

Des pirates ont eu l’idée d’encoder l’adresse IP d’un serveur de secours dans des transactions bitcoin. L’idée est plutôt maligne, mais pas suffisamment.

Les chercheurs en sécurité d’Akamai ont détecté un botnet qui s’appuie sur une façon originale de créer un backup de son infrastructure de commande et contrôle. Les opérateurs de ce réseau de zombies utilisent la blockchain du bitcoin pour y camoufler l’adresse IP d’un serveur de secours.
En effet, si le malware n’arrive pas à contacter ses serveurs habituels, il va consulter les deux dernières transactions entrantes d’un portefeuille bitcoin et convertir les valeurs de ces transactions en adresse IP.
Autrement dit, le jour où leur infrastructure est démantelée, les pirates n’ont qu’à envoyer deux sommes vers ce portefeuille pour reprendre la main sur leurs zombies. Plutôt malin. « Ils ont mis au point une méthode de diffusion d’information à partir d’un support qui ne peut être ni saisi ni censuré », soulignent les chercheurs.

Deux méthodes pour briser cette tactique

Pour autant, cela ne veut pas dire que ce système soit parfait. Les chercheurs ont détaillé au moins deux méthodes pour briser ce mécanisme de restauration. La première consiste à surveiller le fameux portefeuille. Dès que les pirates ont envoyé leurs transactions de récupération, il suffit de polluer ce canal plus tellement secret en envoyant 1 petit satoshi (i.e. 0,00000001 bitcoin).
Cela empêche de facto le décodage de l’adresse IP. Les pirates ne pourraient pas lutter contrer cette attaque, car ce ne serait économiquement pas viable. L’encodage de l’adresse IP nécessite de transmettre des sommes bien définies, relativement élevées. Si l’on prend l’adresse 209.141.45.27, « pour chaque dollar investi dans le démantèlement, les opérateurs devraient dépenser 41 000 dollars », soulignent les chercheurs

A découvrir aussi en vidéo :

 

La seconde méthode de démantèlement est encore plus simple. À partir du moment où les forces de l’ordre ont pris la main sur l’infrastructure des opérateurs de botnet, il suffirait de répondre à chaque requête reçue par un zombie par le code HTTP 200. Le malware pense alors que tout est en ordre. Évidemment, les pirates vont maintenant certainement tenter de perfectionner leur système.

Source : Akamai

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN