Europol et le FBI ont collaboré avec les polices d’une quinzaine de pays et avec Microsoft et ESET pour démanteler après deux ans de traque le botnet Andromeda, responsable de la diffusion de nombreux malwares, parmi lesquelles le ransomware Petya ou le spyware bancaire Ursnif.
Le 29 novembre s’est achevée une chasse longue de deux ans. Les protagonistes : une alliance hétéroclite rassemblant l’EC3 (European Cybercrime Centre, dépendant d’Europol), le FBI, quinze Etats et diverses organisations privées, Microsoft, ESET ou encore l’ICANN. Tout ce petit monde était associé à la lutte contre Andromeda, également connu sous le nom Gamarue, « l'une des plus anciennes familles de logiciels malveillants en existence ».
Créé en septembre 2011, Andromeda est destiné à voler les informations d’identification sur les machines de ses victimes et de diffuser d’autres familles de malwares. Pour ce faire, il crée un réseau de bots, se répandant à travers les spams, les messages instantanés et même les périphériques de stockage amovible. ESET détectait sa présence sur un million de machines en moyenne chaque mois. Selon Microsoft, plus de 2 millions d’adresses IP uniques tentaient de communiquer avec les serveurs du botnet.
Botnet as a Service
Vendu en kit d’outils, Andromeda comprend un bot-builder, une application Command&Control du réseau de bot et toute la documentation nécessaire. L’originalité de ce malware est sa modularité, les attaquants pouvant y ajouter des plugins : il embarque par défaut un rootkit et un Socks4/5, permettant de transformer n’importe quel ordinateur en serveur proxy. Mais en payant, on peut y joindre des outils allant du keylogger à l’outil de contrôle à distance du terminal de la victime, en passant par un Formgrabber, capable de collecter les données entrées dans un navigateur Web. Andromeda a permis la diffusion d’autres malwares : Petya, Cerber ou encore Ursnif, pour citer les plus connus.
« Les chercheurs d'ESET ont pu créer un bot capable de communiquer avec le serveur C & C d’Andromeda » explique ESET. Depuis 2015 la société de sécurité informatique, associée à Microsoft, suit de près le botnet et sa propagation et liste ses serveurs C&C. Au total, les deux entreprises ont recensé 1 214 domaines et adresses IP de serveurs de commande, ainsi que 464 réseaux de bots et plus de 80 familles de malwares associés. Microsoft note dans sa documentation qu’Andromeda employait un large éventail de techniques pour rester sous les radars, chiffrant ses communications avec son serveur de commande ou encore des mécanismes lui permettant d’éviter les outils d’analyse tels que les sandbox.
Précédent Avalanche
Ces informations ont été partagées avec les autorités en charge de l’enquête. Un autre évènement est venu donner un coup de pouce aux enquêteurs. En novembre 2016, une opération conjointe de plusieurs forces de police, dont le FBI et Europol, mettait à terre le réseau Avalanche, plateforme de diffusion de logiciels malveillants. Selon Europol, cette affaire a permis de récolter des informations sur Andromeda.
Forte de l’ensemble de ces informations, « l'opération globale coordonnée a abouti à la suppression des serveurs du botnet, perturbant l'une des plus importantes opérations malveillantes au monde ». Les 1500 domaines reliés à Andromeda ont été saisis par les autorités et une personne arrêtée en Biélorussie. L’opération se poursuivra encore durant un mois, de sorte que soient identifiées toutes les victimes du botnet. Mais cette surveillance pourrait se voir rallongée, à l’instar des mesures de sinkholing relatives à Avalanche, Europol signalant que 55% des victimes identifiées sont toujours infectées.