[ARTICLE] Démantèlement du botnet Avalanche (mars 2017)

Cinq personnes arrêtées, 221 serveurs mis hors ligne, 37 perquisitions. Ce bilan spectaculaire est le résultat d’un long travail d’investigation mené par Europol pour démanteler l’un des plus importants botnets, Avalanche. Selon Europol, c’est la plus grande opération de démantèlement de botnet jamais réalisée. Le réseau Avalanche avait infecté des millions d’ordinateurs dans 180 pays, dont la France. Les machines infectées étaient principalement des PC Windows et des smartphones Android .

Des petits bots, des petits bots, toujours des petits bots

Le réseau Avalanche existe depuis 2009. Il était utilisé pour piloter près d’une vingtaine de malwares différents dont des ransomwares (Teslacrypt) et des chevaux de Troie bancaires (Pandabanker, Tiny Banker). Ce réseau est lié à de nombreuses familles de malwares comme Bolek, Citadel, CoreBot, Marcher, Nymain, Ranbuys, TeslaCrypt, Tiny Banker UrlZone ou encore Vawtrak. Ces derniers permettaient notamment de créer des virements frauduleux. Ces sommes étaient ensuite blanchies par l’achat de produits, au travers d’un réseau de mules « hautement organisé ». Durant les premières années, le réseau a grandi, au point de culminer à environ un demi-million d’ordinateurs infectés. Avalanche était devenu un réseau de distribution de malwares, de spam et autres tentatives de phishing. En 2010 un rapport du groupe de travail Anti-Phishing avait déjà qualifié Avalanche de « gang de phishing le plus prolifique au monde », notant que le botnet Avalanche était responsable des deux tiers de toutes les attaques de phishing enregistrées au second semestre 2009 .

Ce réseau de botnet a ciblé plus de 40 grandes institutions financières, des services en ligne et des sites d’emploi. Avalanche est également associé au botnet de fraude financière Zeus et fin 2009, le réseau utilisait déjà plus de 950 domaines distincts pour ses campagnes de phishing. Il était à plus de 800 000 domaines au moment de son démantèlement cette semaine. Au plus fort de son activité, un million d’emails accompagnés de pièces jointes malveillantes étaient ainsi envoyés chaque semaine. L’une des particularités techniques d’Avalanche était son infrastructure de camouflage. Les serveurs de commande et contrôle (C&C) étaient non seulement protégés par un labyrinthe de serveurs proxies, mais aussi par un système d’adressage DNS à « double flux rapide », où les milliers de serveurs de noms et d’adresses IP auxquels devaient accéder les machines zombies étaient modifiés toutes les cinq minutes.

Fonctionnement du botnet Avalanche (source : Europol)

Un démantèlement d’envergure : 830 000 domaines saisis !

Une large coopération s’est alors mise en place entre les forces de l’ordre allemandes et anglaises, Europol, Eurojust, le FBI et le bureau du procureur de Pennsylvanie. Cette entente a donné lieu à une enquête qui a duré quatre ans et qui a abouti récemment à une opération de grande envergure. Elle s’est tenue le 30 novembre 2016 et a permis de mettre fin au réseau Avalanche. Cinq personnes ont été arrêtées au terme d’une investigation qui a réclamé la participation d’enquêteurs et de procureurs dans plus de 30 pays. 37 lieux ont été fouillés et 39 serveurs ont été saisis. Dans son communiqué, Eurojust indique que c’est la plus grande utilisation jamais enregistrée de « sinkholing » (littéralement entonnoir) contre une infrastructure de contrôle des malwares. En tout, plus de 830 000 domaines ont été saisis, redirigés ou complétement bloqués. Pour mener à bien cette opération, un poste spécial de commandement avait été installé à la Haye, où Europol a son siège.

Une opération similaire à celle d’Onymous

Le 6 novembre 2014 dans le quartier de Mission de San Francisco, une équipe du FBI perquisitionnait le domicile de Blake Benthall, un informaticien de 26 ans et ancien employé de Space X, l’entreprise américaine chargée d’envoyer les fusées dans l’espace. Cet homme était soupçonné par le FBI d’avoir dirigé Silk Road 2, un des plus grands sites cachés spécialisé dans la vente de drogue et de faux documents d’identité. Cette intervention du FBI baptisée Opération Onymous, est le résultat d’une longue investigation au cœur  du Dark Web afin de démasquer les créateurs du site Silk Road 2. Silk Road était devenu l’un des « marchés criminels les plus prisés, vastes et sophistiqués ». Les acheteurs pouvaient acquérir contre des bitcoins des faux papiers, de la drogue ou encore des méthodes pour pirater un compte Gmail. Le site avait été fermé par le FBI, le 2 octobre 2013. Son créateur, Ross William Ulbricht, avait été arrêté après la fermeture du site. Quelques semaines plus tard la version 2 apparaissait. Créée par Blake Benthall, Silk Road 2 avait un chiffre d’affaires mensuel de 8 millions de dollars et fidélisait plus de 100 000 clients dans le monde entier. Le FBI a infiltré le site dès son apparition. L’un des agents infiltrés a réussi à intégrer la petite équipe créée par le dirigeant du site, Blake Benthall, baptisé Defcon sur le site.

Coordonnée entre Europol (cellule J-CAT en charge de la lutte contre le cybercrime), Eurojust, l’European Cybercrime Centre (EC3), le FBI, les services de lutte contre l’immigration clandestine et le département en charge de la sécurité intérieure côté Etats-Unis, l’Opération Onymous avait permis la fermeture de plus de 400 sites camouflés dans le Dark Web, ainsi que la fermeture de Silk Road 2 . Au total, 17 arrestations, dont celle du leader de Silk Road 2, ont eu lieu lors de cette opération qui se déroulait dans 16 pays. Plusieurs serveurs ont été mis hors ligne et saisis. En France, deux serveurs situés dans de grandes entreprises d’hébergement avaient été saisis et stoppés. Outre la France, des serveurs ont été saisis aux Etats-Unis, aux Pays-Bas, en Allemagne, ou encore en Bulgarie.
Bien que l’Opération Onymous fût une réussite au niveau technologique quelques heures à peine après la fermeture de Silk Road 2, une nouvelle version a déjà pris le relais, baptisée Silk Road 3 Reloaded. Il en est de même pour l’Opération Avalanche. Cette opération signifie celle de l’infrastructure de contrôle, pas celles des malwares qui restent l’une des menaces les plus persistantes comme en témoigne l’émergence hebdomadaire de nouveaux malwares.

Conclusion

Même si l’opération est un franc succès et donnera sans doute à réfléchir à quelques pirates, le phénomène des botnets ne va pas pour autant disparaître. Dernièrement, un nouveau botnet vient d’émerger connu sous le nom Leet. Celui-ci lance des attaques DDoS de plus de 650 Gbps sur des courtes durées. La vitesse avec laquelle ils mènent des attaques de plus en plus puissantes contre les serveurs, conjuguée à la mise en ligne du code source de certains malwares fait émerger un nouveau concept : le « paradigme de la rupture ». En effet, les malwares sont de plus en plus complexes, et par conséquent très difficiles à endiguer. Sans une coopération internationale entre les agences chargée de la lutte contre le cybercrime (ANSSI, BSI, Europol, etc), les malwares continueront de se multiplier étant donné les revenus qu’ils génèrent aux criminels. Les botnets servent aussi à paralyser des serveurs entiers, en témoigne la paralysie de l’infrastructure DNS du fournisseur américain Dyn en octobre dernier .