Passer au contenu

Grum, le troisième plus important botnet est hors d’état de nuire

Les experts en sécurité informatique de FireEye ont détruit Grum, le troisième plus important botnet au monde, responsable de 18 % du spam global.

Grum… ce n’est ni le cri d’un ours, ni le murmure du geek resté trop longtemps assis devant son clavier. C’est le nom d’un des botnets spammeurs les plus virulents du moment. Il est responsable de 18 % du trafic de spam mondial, soit environ 18 milliards de spams quotidiens ! Et c’est aussi l’un des plus anciens encore en activité : sa création remonte à 2008.

Selon Atif Mushtaq, responsable du projet d’éradication de Grum au sein de FireEye, société spécialisée dans la sécurité informatique, la stratégie qu’il a mise en place, conjointement avec SpamHaus – une société britannique qui œuvre dans la traque de spams sur le Net –, a fini par payer « au prix de nombreux efforts individuels » : Grum a vécu.

Partie d’échecs à l’échelle planétaire

Comme de nombreux botnets, sa diffusion est basée sur des serveurs disséminés sur la planète et des milliers de PC « zombies » qui reçoivent leurs instructions pour servir de relais d’envoi. La bataille qu’a coordonnée Atif Mushtaq ressemble à une partie d’échecs planétaire.

Deux types de serveurs CnC [Command and Control, les serveurs qui contrôlent les PC « zombies » et leur envoient des instructions, NDLR] ont été repérés par les chercheurs en sécurité. Deux d’entre eux étaient situés aux Pays-Bas et se chargeaient d’indiquer aux PC « zombies » les spams qu’ils devaient envoyer. Deux autres serveurs, chargés de mettre à jour les informations de configuration sur le réseau de PC infectés, ont été identifiés au Panama et en Russie.

Dans un premier temps, les deux serveurs néerlandais ont été rapidement mis hors d’état de nuire avec l’aide des autorités locales. Ainsi, une bonne partie des PC « zombies » se sont retrouvés « orphelins » et, sans instructions reçues, sont devenus inactifs. Le 17 juillet 2012 au matin, le serveur panaméen a à son tour été détruit. « Avec la disparition de ce dernier, c’est tout un pan de Grum qui s’est écroulé définitivement », rapporte le chercheur de FireEye. D’une part, une partie des ordinateurs infectés ne recevaient plus les ordres et il était désormais impossible de mettre leur configuration à jour pour qu’ils soient à nouveau fonctionnels.

Malin comme un hacker…

A ce stade, les équipes ont estimé qu’il ne restait plus qu’à éliminer le serveur russe. Mais les cybercriminels avaient plus d’un tour dans leur sac : les deux serveurs néerlandais avaient déjà été remplacés par six nouvelles machines situées, cette fois-ci, en Ukraine. Cette destination « virtuelle » est particulièrement appréciée des pirates du Net qui y entreposent leurs serveurs, car les autorités sont réputées lentes à réagir et il est compliqué de les déloger.

Atif Mushtaq a immédiatement partagé cette découverte avec ses homologues de Spamhaus et du CERT-GIB (une société russe spécialisée dans la cybersécurité) ainsi qu’avec un chercheur anonyme du nom de Nova7. Dans la nuit du 17 au 18 juillet, leurs actions réunies appuyées par l’intervention des FAI et des autorités locales, sont venues à bout des six serveurs ukrainiens et du « centre de commandes » situé en Russie. Fin de la partie : Grum est officiellement mort.

Selon les données fournies par la firme SpamHaus, sur les 120 000 adresses IP de PC « zombies » répertoriées, seules, 21 505 subsistaient après l’opération. Atif Mushtaq précise par ailleurs que toutes les machines ne servaient pas à l’envoi de spam et ce dernier chiffre, bien qu’important, doit correspondre en fait aux ordinateurs hébergeant les sites promotionnels des pirates vers lesquels renvoyaient les spams.

Et de conclure : « Tous les botnets de spam qui avaient leurs serveurs hébergés aux Etats-Unis ou en Europe ont migré vers des pays comme le Panama, la Russie ou l’Ukraine, imaginant que personne n’irait les déloger de ces endroits confortables. Nous avons prouvé qu’ils avaient tort. Continuons à rêver d’une boîte aux lettres électronique sans spam. »

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Benjamin Gourdet