Le ministère américain de la Justice (DoJ) a révélé jeudi qu’il avait supprimé l’infrastructure associée à un botnet russe connu sous le nom de RSOCKS en collaboration avec des partenaires chargés de l’application de la loi en Allemagne, aux Pays-Bas et au Royaume-Uni.
Le botnet, exploité par une organisation de cybercriminalité sophistiquée, aurait pris au piège des millions d’appareils connectés à Internet, y compris des appareils Internet des objets (IoT), des téléphones Android et des ordinateurs pour les utiliser comme service proxy.
Les botnets, une menace en constante évolution, sont des réseaux d’appareils informatiques piratés qui sont sous le contrôle d’une seule partie attaquante et sont utilisés pour faciliter une variété de cyber-intrusions à grande échelle telles que les attaques par déni de service distribué (DDoS), le courrier électronique spam et cryptojacking.
« Le botnet RSOCKS offrait à ses clients l’accès aux adresses IP attribuées aux appareils qui avaient été piratés », a déclaré le DoJ. a dit dans un communiqué de presse. « Les propriétaires de ces appareils n’ont pas donné aux opérateurs RSOCKS l’autorisation d’accéder à leurs appareils afin d’utiliser leurs adresses IP et d’acheminer le trafic Internet. »
Outre les entreprises à domicile et les particuliers, plusieurs grandes entités publiques et privées, dont une université, un hôtel, un studio de télévision et un fabricant d’électronique, ont été victimes du botnet à ce jour, ont déclaré les procureurs.
Les clients souhaitant utiliser les procurations de RSOCKS pouvaient louer un accès via une vitrine Web pour différentes périodes à différents prix allant de 30 $ par jour pour l’accès à 2 000 procurations à 200 $ par jour pour l’accès à 90 000 procurations.
Une fois achetés, les acteurs criminels pourraient alors rediriger le trafic Internet malveillant via les adresses IP associées aux appareils victimes compromis pour dissimuler leur véritable intention, qui était de mener des attaques de bourrage d’informations d’identification, d’accéder à des comptes de médias sociaux compromis et d’envoyer des messages de phishing.
L’action est le point culminant d’une opération d’infiltration montée par le Federal Bureau of Investigation (FBI) au début de 2017, lorsqu’il a effectué des achats secrets auprès de RSOCKS pour cartographier son infrastructure et ses victimes, lui permettant de déterminer environ 325 000 appareils infectés.
« Grâce à l’analyse des appareils victimes, les enquêteurs ont déterminé que le botnet RSOCKS avait compromis l’appareil victime en menant des attaques par force brute », a déclaré le DoJ. « Les serveurs backend RSOCKS ont maintenu une connexion persistante avec l’appareil compromis. »
La perturbation de RSOCKS survient moins de deux semaines après avoir saisi un marché en ligne illicite connu sous le nom de SSNDOB pour le trafic d’informations personnelles telles que les noms, les dates de naissance, les numéros de carte de crédit et les numéros de sécurité sociale d’environ 24 millions de personnes aux États-Unis.