Passer au contenu

Démantèlement d’Andromeda, un réseau de deux millions de machines zombies

Les forces de l’ordre ont cassé l’un des plus grands botnets de la Toile. Il servait, entre autres, à diffuser des dizaines d’autres malwares à travers le monde.

Les forces de l’ordre viennent de porter un coup fatal à Andromeda, alias Gamarue ou Wauchos, un botnet qui a infecté des millions de machines dans le monde, y compris en Europe. Le démantèlement a été mené par le FBI en collaboration avec Europol, Eurojust et la police de Lüneburg (Allemagne). Les sociétés privées Microsoft et Eset ont également apporté leur savoir-faire.

L’opération a permis d’identifier et geler 1214 domaines et adresses IP de serveurs de commande et contrôle. Ces derniers assuraient la gestion de 464 botnets différents à travers le monde. Selon Microsoft, l’interception des flux de communication a permis d’identifier deux millions d’adresses IP uniques de victimes dans 223 pays. Un suspect a par ailleurs été arrêté en Biélorussie.

Microsoft – Carte d’infection Andromeda (mai-novembre 2017)

Andromeda est commercialisé dans les forums de pirates depuis 2011 sous la forme d’un kit logiciel modulaire. Ses « plug-ins » permettent par exemple d’enregistrer les frappes de clavier (Keylogger, 150 dollars), de capter les données web (Formgrabber, 250 dollars) et de prendre le contrôle de la machine (Teamviewer, 250 dollars).

Certains modules sont inclus d’office dans Andromeda. C’est le cas notamment du module de communication Socks4/5, qui transforme la machine infectée en serveur proxy pour la diffusion de malware, l’un des principaux fonds de commerce de ce botnet. D’après les éditeurs, Andromeda a permis la distribution de plus de 80 familles de malwares : des ransomwares (Petya, Cerber, Troldesh), des chevaux de Troie (Ursnif, Carberg), des diffuseurs de spam (Lethic, Cutwail), etc.    

Andromeda lui-même est diffusé de multiples façons. Les victimes sont infectées au travers d’emails piégés, de sites piégés, de liens piégés dans les réseaux sociaux ou de chevaux de Troie. Récemment, les pirates ont même rajouté un vecteur de propagation par infection de clés USB.

Microsoft – Mode de propagation Andromeda

Petit détail intéressant : avant de s’installer sur un PC, ce botnet vérifie qu’il ne s’agit pas d’une machine russe, biélorusse, ukrainien ou kazakh. Ce qui suggère que les auteurs de ce malware proviennent de ces pays. Le malware va également plier bagage s’il détecte la présence d’un antivirus, d’une machine virtuelle ou d’un logiciel d’analyse malware.         

Une fois installé, Andromeda tente de faire le moins de vagues possibles. Il embarque plusieurs techniques qui lui permettent de rester discret. Ainsi, il embarque un rootkit qui lui permet d’injecter son code dans différents processus légitimes du système. Quant aux plug-ins, ils sont généralement stockés dans le registre Windows, ce qui permet de ne pas laisser de traces dans le système de fichiers. Andromeda va également essayer de désactiver certaines fonctions qui pourraient lui nuire, comme le pare-feu, la mise à jour automatique ou les fonctions de contrôle des comptes utilisateurs.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN