Après avoir piraté des millions d’appareils, le botnet russe RSOCKS a été fermé par le ministère de la Justice des Etats-Unis (Doj).
Une opération internationale plus tard, les autorités américaines ont annoncé avoir fermé un botnet russe connu sous le nom de RSOCKS. états-uniens, allemands, néerlandais et britanniques ont agi de concert pour le faire tomber. « Cette opération a perturbé une organisation de cybercriminalité hautement sophistiquée basée en Russie qui a mené des cyber-intrusions aux États-Unis et à l'étranger », a déclaré Stacey Moy un agent spécial du FBI travaillant sur l’affaire.
RSOCKS aura tout de même eu le temps de compromettre des millions d’appareils à travers le monde. Le botnet agissait comme un service de proxy qui, au lieu de vendre des adresses IP légitimes louées à des fournisseurs internet, revendaient les adresses IP d’appareils compromis pour permettre aux pirates de mener leurs actions. D’après les autorités, RSOCKS visait des appareils IoT insuffisamment protégés, comme des routeurs, des systèmes de contrôle industriels et jusqu’à des portes de garage intelligentes. Il s’est ensuite attaqué à d’autres terminaux comme des ordinateurs conventionnels et des appareils Android. Plutôt que de profiter de la vulnérabilité des logiciels, les opérateurs de RSOCKS ont compromis les appareils en menant des attaques par force brute.
Appareil zombies
Les cybercriminels souhaitant utiliser la plateforme RSOCKS devaient payer 30 dollars par jour pour accéder à 2000 proxies, et 200 dollars par jour pour 9000 proxies. « Une fois acheté, le client peut télécharger une liste d'adresses IP et de ports associés à un ou plusieurs serveurs principaux du botnet. Le client pourrait alors acheminer le trafic Internet malveillant via les appareils victimes compromis pour masquer ou masquer la véritable source du trafic. », a décrit le communiqué du DoJ. Les appareils infectés, ou appareils zombies, ont en fait servit aux pirates à lire et obtenir des données personnelles sur l’appareils, ou encore à installer et exécuter des applications malveillantes. Plusieurs grandes entités publiques et privées dont une université ont été visées.