Kaspersky Lab, Kyrus Tech et Microsoft neutralisent le botnet Hlux/Kelihos

Kaspersky Lab, Kyrus Tech et Microsoft neutralisent le botnet Hlux/Kelihos

Dans leur lutte incessante contre les opérateurs de botnets et les hébergeurs autorisant des enregistrements de domaines anonymes qui facilitent la tâche de ces derniers, Kaspersky Lab, Microsoft et Kyrus Tech ont collaboré avec succès à la mise hors service du botnet Kelihos (initialement nommé Hlux par Kaspersky Lab). Kelihos a servi à la diffusion de plusieurs milliards de spams, au vol de données personnelles, au lancement d’attaques DDoS ainsi qu’à de nombreuses autres activités criminelles, via un réseau d’ordinateurs « zombies » dont le nombre est estimé à 40 000. Microsoft a également intenté des actions judiciaires au civil contre 24 individus liés à l’infrastructure sous-jacente du botnet, ce qui a permis la fermeture des domaines Internet utilisés pour héberger et commander celui-ci. Les actions en justice de Microsoft ont été étayées par des contributions de Kaspersky Lab, mais aussi par une déclaration directe de Kyrus Tech exposant des informations et preuves détaillées relatives au botnet Kelihos.

Kaspersky Lab a joué un rôle déterminant dans la neutralisation du botnet, en surveillant ce dernier depuis le début de 2011, date à laquelle a démarré la collaboration avec Microsoft sur cette affaire, notamment par le partage, avec l’éditeur américain, du système Kaspersky de suivi de botnet en direct. Kaspersky Lab a également fait en sorte que plus personne ne puisse plus prendre le contrôle de ce botnet à l’avenir. Ses spécialistes ont procédé à la rétro-ingénierie du code, déchiffré le protocole de communication, découvert les points faibles de l’infrastructure « Peer to Peer » et développé les outils adéquats pour la contrecarrer. De plus, les domaines Internet utilisés par le botnet ayant été mis hors ligne sur décision judiciaire à la demande de Microsoft, Kaspersky Lab a pu prendre le contrôle du botnet par la technique de « sinkholing », c’est-à-dire en infiltrant l’un de ses ordinateurs dans les communications internes complexes du réseau.

Reconnaissant la participation active de Kaspersky Lab dans la fermeture du botnet, Richard Boscovich, juriste de la Microsoft Digital Crimes Unit, commente : « Kaspersky Lab a joué un rôle clé dans cette opération en nous fournissant des informations exclusives et approfondies, issues de ses analyses techniques et de sa connaissance du botnet Kelihos.

Cela a non seulement permis de neutraliser le botnet avec succès mais aussi apporté des éléments concrets concernant son analyse et sa structure. Nous remercions Kaspersky Lab pour son aide dans cette affaire et pour sa détermination à rendre Internet plus sûr. »

Au sujet du rôle de Kaspersky Lab dans la maîtrise de Kelihos, Tillmann Werner, analyste senior en malwares de Kaspersky Lab Allemagne, précise : « Dès le début de l’opération de “sinkholing” par Kaspersky Lab le 26 septembre, le botnet a été neutralisé. En outre, du fait que les zombies communiquent désormais avec notre propre machine, nous pouvons analyser les données, par exemple afin de retracer les infections par pays. A ce jour, Kaspersky Lab a dénombré 61 463 adresses IP contaminées et coopère avec les FAI concernés pour informer les exploitants des réseaux de ces infections. »

Kelihos est un botnet de type « Peer to Peer », composé de couches de différents types de nœuds : des contrôleurs, des routeurs et des « zombies ». Les contrôleurs sont des machines présumées aux mains de la bande de cybercriminels qui pilote le botnet. Elles diffusent des commandes aux zombies et supervisent la structure dynamique du réseau Peer to Peer. Les routeurs sont des machines infectées possédant des adresses IP publiques. Elles servent à l’envoi de spam, à la collecte d’adresses e-mail, à l’interception d’identifiants utilisateurs sur le réseau, etc.

Microsoft annonce que son centre de protection contre les logiciels malveillants (Malware Protection Center) a ajouté la détection de Kelihos à son outil Malware Software Removal Tool. Cet outil étant très répandu, de nombreuses infections ont d’ores et déjà pu être nettoyées.

La coopération entre Kaspersky Lab et Microsoft se poursuit depuis un certain temps. Elle a notamment porté récemment sur le ver de sinistre mémoire Stuxnet, qui a piraté des systèmes de contrôle industriel tels que ceux utilisés dans le cadre du programme nucléaire iranien.

Kaspersky Lab souhaite exprimer sa gratitude à SURFnet pour son soutien apporté à cette opération, en particulier pour avoir fourni l’infrastructure parfaite pour la technique de « sinkholing ».

03.10.2011

Recommander cette page

Photos non contractuelles - © 1997 - 2014 Kaspersky Lab ZAO.

Tous droits réservés. La meilleure des technologies en matière de prévention des cyber-risques.