Un tribunal de l'Etat de Virginie a récemment autorisé Microsoft à mener une action pour stopper la propagation de 500 souches de malwares ciblant potentiellement des millions d'utilisateurs. Dans l'un de ses blogs, l'éditeur américain explique que cette intervention, à la fois légale et technique, baptisée du nom de code Opération b70, fait suite à une étude qu'il a menée à partir d'août 2011. Celle-ci a établi que des cybercriminels avaient infiltré une chaîne logistique non sécurisée pour introduire des logiciels contrefaits contenant un malware, avec l'objectif d'infecter secrètement les ordinateurs ainsi commercialisés.

Le malware est embarqué dans des versions contrefaites du système d'exploitation Windows. Il a été conçu pour espionner les utilisateurs et déboucher sur des attaques en déni de service, explique Microsoft. Pour l'éditeur, cette découverte soulève des questions sur l'intégrité des chaînes logistiques des assembleurs de PC. Richard Domingues Boscovich, juriste à la division DCU (Digital Crimes Unit) de Microsoft, dresse un tableau peu réjouissant de la situation globale. Selon lui, les cybercriminels sont à l'affût et feront feu de tout bois. « Si la chaîne logistique constitue pour eux un moyen d'atteindre les ordinateurs, ils emprunteront cette voie ».

Diffusion rapide par les disques amovibles


L'Opération b70 s'est donc soldée par la fermeture du système C&C (commande et contrôle) connecté aux ordinateurs infectés par Nitol, le malware préinstallé découvert par Microsoft, capable de se diffuser rapidement par l'intermédiaire de disques amovibles. En intervenant de façon radicale, Microsoft essaie d'arrêter à la source l'activité cybercriminelle, qui vise principalement les utilisateurs de Windows en raison de la diffusion mondiale de l'OS.    

En août 2011, des chercheurs de la Digital Crimes Unit (DCU) de Microsoft, qui enquêtent sur les cybercrimes, ont acheté vingt PC en Chine, dans des centres commerciaux informatiques de différentes villes. Tous contenaient des versions contrefaites de Windows XP ou Windows 7, relate Richard Domingues Boscovich, juriste attaché à la DCU. « Trois ordinateurs contenaient des malwares inactifs, mais un quatrième recelait un malware actif, « Nitol.A », qui s'est éveillé lorsque l'ordinateur s'est connecté à Internet », poursuit-il dans un billet publié la semaine dernière. Nitol est un botnet qui existe en deux variantes, A et B. L'ordinateur concerné avait été fabriqué par Hedy, important constructeur basé à Guangzhou, en Chine, et il avait été acheté à Shenzhen. Les trois autres PC venaient aussi d'importants fabricants, ajoute Microsoft, sans préciser en préciser le nom.

500 souches de malwares sur 70 000 sous-domaines


On pense que les ordinateurs ont été infectés après leur sortie d'usine. En Chine, de nombreux PC sont simplement livrés avec un DOS et l'OS est installé plus tard. « Quelque part dans le magasin ou dans la chaîne logistique, quelque chose s'est produit », constate Richard Boscovich en ajoutant que les consommateurs occidentaux sont peut être moins touchés par ce genre de falsification, mais qu'ils peuvent assurément encourir ce risque s'ils téléchargent des logiciels sur Internet.

La découverte de ce malware a conduit Microsoft à approfondir son enquête sur le botnet Nitol, qui était contrôlé à travers le domaine « 3322.org ». Ce dernier était lié à une activité malveillante depuis 2008. Il contenait plus de 500 souches de malwares hébergés sur près de 70 000 sous-domaines, révèle le juriste de Microsoft dans son billet. Le malware hébergé peut activer un ensemble de fonctions malveillantes, allant de la mise en route du microphone ou de la caméra vidéo d'un ordinateur jusqu'à l'enregistrement de la frappe au clavier.

Le 10 septembre, Microsoft a donc obtenu de la justice américaine de prendre le contrôle du domaine 3322.org. L'éditeur a déposé une plainte au civil contre Peng Yong, qui détient ce domaine, et contre sa société Changzhou Bei Te Kang Mu Software Technology, également connue sous le nom de Bitcomm, et contre trois autres défenseurs non nommés. Une audition a été fixée au 26 septembre. Selon Richard Boscovich, Microsoft aimerait que Peng Yong identifie les personnes qui ont enregistré les domaines malveillants, dans la mesure où les sites en question sont des sous-domaines du sien. « Nous essayons d'entrer en contact avec lui. Nous ne prétendons pas nécessairement qu'il est celui qui exécute le botnet ».

Le trafic nuisible est stoppé sans affecter le trafic légitime

Microsoft contrôle désormais 3322.org. Puisque ce domaine héberge aussi des sites autorisés, l'éditeur américain utilise le logiciel DNS de Nominum qui autorisera le trafic légitime vers les sous-domaines de 3322.org, mais il stoppera le trafic des 70 000 sites web nuisibles (un processus dénommé sinkholing -principe de l'entonnoir).  

Utiliser le DNS de cette façon constitue un nouveau type d'approche, explique Craig Sprosts, directeur général pour le haut débit fixe chez Nominum, qui délivre des services DNS à des opérateurs comme Verizon, Comcast et BT. L'avantage de cette méthode, c'est que les sites web qui ne font rien d'illégal continueront à fonctionner.

« L'opération est assez unique », estime Craig Sprosts. « Il y a eu précédemment des domaines qui sont tombés, mais celle-ci s'apparent davantage à une frappe chirurgicale ».  En ce qui concerne les ordinateurs infectés, Microsoft avisera les fournisseurs d'accès Internet ayant des clients affectés afin qu'ils puissent prendre des mesures pour débarrasser leurs ordinateurs des malwares.