Grum, l'un des plus actifs botnets de spam au monde a été paralysé après la désactivation de deux de ses serveurs de commande et de contrôle (C&C) hébergés aux Pays-Bas, selon des chercheurs de l'entreprise de sécurité FireEye. « Les deux serveurs en question étaient chargés de diffuser les instructions de spamming à leurs zombies », a déclaré dans un blog, mardi, Atif Mushtaq, le chercheur responsable de l'équipe de FireEye. « Ces deux serveurs étant hors ligne, le dernier gabarit de spam conservé à l'intérieur de la mémoire de Grum sera bientôt obsolète. Les zombies vont essayer d'aller récupérer d'autres instructions, mais ils ne pourront rien trouver », a t-il ajouté. « L'impact de l'arrêt du spamming généré par Grum sur le volume de spam au niveau mondial sera significatif », a ajouté Atif Mushtaq.

Cependant, cette victoire n'est peut-être que temporaire, car les créateurs du réseau de zombies contrôlent toujours deux autres serveurs de commande et de contrôle hébergés en Russie et au Panama. Grum repose sur deux types de serveurs de contrôle pour son fonctionnement. L'un est utilisé pour envoyer des mises à jour de configuration aux ordinateurs infectés et l'autre indique au botnet les spams qu'il doit envoyer. Ce sont ces deux derniers serveurs qui ont été mis hors ligne. Cela signifie que les opérateurs de Grum peuvent encore théoriquement utiliser les deux serveurs de configuration restants pour mettre à jour le botnet et le diriger vers d'autres serveurs de spam. Mais, pour l'instant, ce ne s'est pas la stratégie choisie par les opérateurs. « Jusqu'à présent, les parrains du bot n'ont pris aucune mesure », a déclaré le chercheur. « C'est le blackout total de leur côté ».

Des demandes sans réponses pour désactiver les autres serveurs

FireEye essaie d'obtenir aussi la désactivation des serveurs restants. Mais, les fournisseurs de services Internet basés en Russie et au Panama, qui hébergent les dits serveurs, n'ont pas donné suite aux notifications envoyées par l'entreprise de sécurité. « Je ne sais pas si la communauté des chercheurs du monde de la sécuritié va parvenir à mettre hors ligne le reste du botnet Grum, mais nous nous y employons très énergiquement », a ancore déclaré Atif Mushtaq. « Malgré cette première démarche infructueuse, nous allons continuer à relayer notre demande auprès des autorités russes et celles du Panama à travers différents canaux ».

Les premières versions du malware Grum sont apparues au début de l'année 2008, si bien que Grum est l'un des plus anciens botnets en activité. Au fil des années, le botnet a réussi à combler le vide laissé sur le marché de la distribution de spam, résultant de la fermeture, réussie, d'autres botnets comme Srizbi, Rustock ou Mega-D/Ozdock. Selon les statistiques sur le spamming publiées par l'entreprise de sécurité Trustwave, depuis le début de l'année, Grum, Cutwail et Lethic ont été les botnets de spam les plus actifs dans le monde. A lui seul, au cours de la semaine passée, Grum a été à l'origine de près de 35% du trafic de spams dans le monde.

La neutralisation des deux serveurs de spam de Grum est intervenue après la publication, le 9 juillet, sur le blog de FireEye, d'un message dans lequel Atif Mushtaq a révélé des détails techniques sur le réseau de zombies et sur l'infrastructure qui le soutient. « Si l'on parvient à mettre les trois premiers réseaux de zombies - Lethic, Cutwail et Grum - hors d'état, on constatera une baisse rapide et permanente du volume de spam dans le monde entier », avait déclaré le chercheur. «Nous devons encore nous occuper de botnets de plus petite taille. Mais je suis sûr que, si les grands acteurs sont neutralisés, les autres se retireront eux-mêmes du jeu ».