Les Etats-Unis mettent hors service un botnet russe qui a « piraté des millions d’appareils »

Les Etats-Unis mettent hors service un botnet russe qui a « piraté des millions d'appareils »


Le ministère américain de la Justice a démantelé l’infrastructure de ce qu’il décrit comme un botnet russe composé de millions d’objets connectés piratés.

Selon la justice américaine, RSOCKS opérait comme un service de proxy. Sauf qu’au lieu d’offrir à ses clients des adresses IP louées légitimement auprès de fournisseurs d’accès à internet, l’entreprise proposait des adresses IP qui avaient été attribuées à des appareils piratés.

Les Etats-unis ont ainsi annoncé avoir « démantelé », en collaboration avec des partenaires en Allemagne, aux Pays-Bas et au Royaume-Uni, l’infrastructure de RSOCKS « qui a piraté des millions d’ordinateurs et d’autres appareils dans le monde entier ».

Dissimuler sa véritable activité

Ce service était utilisé par des cybercriminels pour dissimuler la source de leur activité, et notamment des attaques de type « credential stuffing » sur des pages de connexion. Le communiqué du ministère de la Justice avance l’idée que « les utilisateurs de ce type de service menaient des attaques à grande échelle, également connues sous le nom de « credential stuffing », contre des services d’authentification, et qu’ils se rendaient ensuite anonymes lorsqu’ils accédaient à des comptes de réseaux sociaux compromis ou envoyaient des courriels malveillants comme des messages d’hameçonnage ».

Le site web du service RSOCKS a maintenant été remplacé par un message indiquant qu’il a été saisi par le FBI. Auparavant, l’accès à un pool de proxies RSOCKS coûtait au moins 30 dollars par jour, pour 2 000 proxies, ou jusqu’à 200 dollars par jour, pour 9 000 proxies, selon la justice américaine. Une fois l’accès acheté, le client pouvait télécharger une liste d’adresses IP et de ports associés à un ou plusieurs serveurs du botnet. Le client pouvait ensuite acheminer son trafic internet via les appareils compromis de la victime afin de masquer la véritable source du trafic, selon le ministère de la Justice.

Les opérateurs de RSOCKS auraient construit le service proxy en compromettant les mots de passe d’objets connectés via des attaques par force brute. Beaucoup de ces appareils sont mis en service avec des mots de passe par défaut ou sont protégés par des mots de passe faibles.

Des objets connectés, mais pas uniquement

Les opérateurs ont d’abord ciblé les objets connectés pour construire le botnet. Ils ont ensuite étendu leurs activités à la compromission d’appareils Android et d’ordinateurs. Parmi les victimes du botnet, on trouve une université, un hôtel, un studio de télévision et un fabricant de produits électroniques. Les autres victimes sont des entreprises à domicile et des particuliers.

La justice américaine a révélé avoir démantelé le botnet en dévoilant un affidavit de mandat de perquisition dans le district sud de la Californie. « Cette opération a permis de démanteler une organisation cybercriminelle très sophistiquée, basée en Russie, qui menait des intrusions aux Etats-Unis et dans d’autres pays », explique Stacey Moy, agent spécial du FBI. « Notre lutte contre les plateformes cybercriminelles est un élément essentiel pour assurer la cybersécurité et la sécurité aux Etats-Unis. Les actions que nous annonçons aujourd’hui témoignent de l’engagement continu du FBI à poursuivre les acteurs malveillants d’origine étrangère en collaboration avec nos partenaires internationaux et du secteur privé. »

En avril, le ministère américain de la Justice a annoncé avoir démantelé un botnet contrôlé par la Direction principale du renseignement (GRU) de la Fédération de Russie et composé de milliers d’appareils pare-feu WatchGuard et Asus infectés.

Source : ZDNet.com





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.