Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Botnet Mariposa

Botnet Mariposa - Réseau de milliers à millions d'ordinateurs compromis par un parasite de zombification et regroupés sous le commandement d'un pirate qui exploite la somme des puissances.

Rappel :

Les réseaux criminels de « calcul distribué » s'appellent des « botnets » (réseaux de « bots » (« robots »)) et chaque appareil (ordinateur) dans le réseau est appelé « zombies ». Les « zombies » sont des ordinateurs individuels utilisés frauduleusement, squattés à l'insu de leurs propriétaires. Un « botnet » peut être constitué de plus d'un million d'ordinateurs zombifiés.

Voir les articles :

Le « botnet Mariposa », découvert en décembre 2008, est un botnet principalement impliqué dans des attaques par scam (fraude 419 – cyberscamage) et des attaques par déni de service distribué (DDoS).

Avant le démantèlement du « botnet Mariposa », le 23 décembre 2009, il avait zombifié près de 13 millions d’appareils sous Windows XP (ou antérieurs) et près de 1 million de zombies étaient exploités simultanément, ce qui en faisait l'un des plus grands botnets connus. Le « bot » implanté dans les machines zombifiées servant à construire le botnet avait pour nom « Mariposa » (« Papillon » en espagnol, ou « Butterfly » en anglais).

Origines et propagation initiale

Le « botnet Mariposa » a été créé à l'origine par le gang « Días De Pesadilla » (« DDP » ou, en anglais, « Nightmare Days ») qui a déployé « Butterfly bot » par les moyens traditionnels (propagation par ver (worm) et ingénierie sociale sur les réseaux sociaux (incitation à regarder une vidéo sexy, etc., et affichage d'une demande de cliquer sur de fausses mises à jour de diverses technologies comme Flash, etc.). Propagation également sur MSN, les réseaux P2P et les supports USB. La lute contre le virus PEBCAK est perdue d’avance.

Opérations et impact

Outre le fait de constituer le « botnet Mariposa » en obéissant à ses centres de C&C (Command & Control), la charge active du bot « Mariposa », pour le compte du gang « Días De Pesadilla » (« DDP ») consistait à surveiller l'activité des mots de passe, des identifiants bancaires et des cartes bancaires.

Cette charge active était modifiable depuis les C&C lorsque le « botnet Mariposa », en tout ou partie, était loué à d’autres gangs cybercriminels. Les activités confirmées incluent :

  • Attaques en « Déni de service distribué » (DDoS)
  • Spam
  • Vol d'informations personnelles
  • Modification à la volée des résultats des recherches avec un moteur de recherche afin d'afficher des publicités et des annonces contextuelles

En raison de la taille et de la nature des botnets, leur impact financier et social total est difficile à calculer, mais les estimations initiales calculaient que la recherche et décontamination des appareils infectés par « Mariposa » coûterait « des dizaines de millions de dollars ».

Après l'appréhension des opérateurs de « Mariposa », les responsables gouvernementaux ont également découvert une base de données contenant les informations personnelles de 800 000 personnes. Cette liste pourrait avoir été utilisée par le gang ou vendue à d’autres gangs dans des opérations d’usurpation d’identité.

Démantèlement de Mariposa

En mai 2009, le « Mariposa Working Group » (MWG) est formé en tant que groupe informel composé :

  • d’agents du renseignement de la défense
  • du Georgia Tech Information Security Center
  • de Panda Security
  • de chercheurs et de responsables anonymes en sécurité

Le but de ce groupe était l'analyse et l'extermination du botnet Mariposa lui-même.

Le 23 décembre 2009, le « Mariposa Working Group » (MWG) a réussi à prendre le contrôle du botnet Mariposa, après avoir pris le contrôle des ses serveurs de C&C (Command & Control) utilisés par le gang « Días De Pesadilla » (« DDP »). Le gang réussit à reprendre le contrôle de son botnet et réagit en lançant une attaque par « Déni de service distribué » (DDoS) sur les serveurs du renseignement de la défense. L'attaque a réussi à faire « tomber » une grande partie des serveurs de l'hébergeur ciblé, parmi lesquels figuraient plusieurs universités canadiennes et des agences gouvernementales.

Le 3 février 2010, la police nationale espagnole a arrêté Florencio Carro Ruiz (alias : Netkairo) en tant que dirigeant présumé du gang « Días De Pesadilla » (« DDP »). Deux arrestations supplémentaires ont été effectuées le 24 février 2010. Jonathan Pazos Rivera (alias : Jonyloleante) et Juan Jose Bellido Rios (alias : Ostiator) en tant que membres du « Días De Pesadilla » (« DDP »).

Le 18 juillet 2010, Matjaž Škorjanc (alias : Iserdo), créateur du « Butterfly bot », a été arrêté pour la première fois à Maribor par la police slovène, mais relâché faute de preuve. Il a de nouveau été arrêté en octobre 2011. En décembre 2013, Matjaž Škorjanc a été reconnu coupable, en Slovénie, de « création d'un programme informatique malveillant destiné au piratage de systèmes informatiques, aide à des actes répréhensibles et blanchiment d'argent ». Il a été condamné à 4 ans et 10 mois d'emprisonnement et à une amende de 3 000 euros (4 100 dollars).

Le tribunal a également ordonné la saisie des biens de Matjaž Škorjanc acquis avec le produit de ses cybercriminalités. Après qu'il ait fait appel du verdict, il a été finalement condamné, en février 2015, à 25 000 € d’amande supplémentaire.

Origine partiellement Wikipedia

Botnet Mariposa -