Le ministère américain de la Justice a confirmé avoir saisi et démantelé l’infrastructure d’un botnet russe utilisé pour détourner des millions d’appareils dans le monde pour les utiliser comme serveurs proxy.
Selon les procureurs, Rsocks a fourni son service de proxy Web – exploité par des cybercriminels russes anonymes – en piratant des millions d’ordinateurs, de smartphones et d’appareils Internet des objets, et en les convertissant en serveurs proxy involontaires, permettant aux clients payants d’utiliser les adresses IP du appareils compromis sans l’autorisation ou la connaissance des propriétaires.
Selon son Compte Twitterle botnet avait accès à plus de huit millions d’appareils résidentiels et à plus d’un million d’adresses IP mobiles.
Les services proxy, qui ne sont pas intrinsèquement illicites ou illégaux, fournissent des adresses IP à leurs clients moyennant des frais, par exemple pour contourner la censure ou accéder à du contenu géobloqué dans une région particulière. Mais selon les procureurs, Rsocks aurait piraté des millions d’appareils en menant des attaques par force brute.
Les clients pouvaient accéder à une « vitrine » sur le Web où ils pouvaient louer l’accès à des procurations pour une période de temps spécifique. Une fois acheté, le client peut télécharger une liste d’adresses IP et de ports associés à un ou plusieurs serveurs principaux du botnet, puis acheminer le trafic Internet malveillant via les appareils compromis pour masquer ou masquer la véritable source du trafic.
« On pense que les utilisateurs de ce type de service proxy menaient des attaques à grande échelle contre les services d’authentification, également connus sous le nom de bourrage d’informations d’identification, et s’anonymisaient lorsqu’ils accédaient à des comptes de réseaux sociaux compromis ou envoyaient des e-mails malveillants, tels que des messages de phishing ». Le ministère de la Justice a déclaré dans un communiqué de presse annonçant le retrait réussi de l’infrastructure du botnet.
Les enquêteurs du FBI ont utilisé des achats d’infiltration pour accéder au botnet Rsocks afin d’identifier son infrastructure dorsale et ses victimes. L’achat d’infiltration initial au début de 2017 a identifié environ 325 000 appareils victimes compromis, principalement situés aux États-Unis.
Outre les entreprises à domicile et les particuliers, plusieurs grandes entités publiques et privées ont été victimes du botnet Rsocks, ont déclaré les procureurs, notamment une université, un hôtel, un studio de télévision et un fabricant d’électronique – ainsi que des foyers et des petites entreprises.
« Les cybercriminels n’échapperont pas à la justice, quel que soit l’endroit où ils opèrent », a déclaré l’avocat américain Randy Grossman. En collaboration avec des partenaires publics et privés du monde entier, nous les poursuivrons sans relâche tout en utilisant tous les outils à notre disposition pour déjouer leurs menaces et poursuivre les responsables.
Le botnet Rsocks est le deuxième du genre à être récemment démantelé par les autorités américaines. En avril, une opération du FBI a révélé qu’elle avait perturbé un autre botnet, connu sous le nom de Cyclops Blink, qui était exploité par un groupe de pirates informatiques travaillant pour le GRU russe, l’unité de renseignement militaire du pays.