Microsoft a annoncé qu'il était parvenu, avec l'aide de plusieurs partenaires, à mettre fin à l'activité de plusieurs groupes de cybercriminels qui utilisaient un morceau de code du malware bien connu Zeus, et grâce auquel ils ont pu dérober 100 millions de dollars au cours des cinq dernières années. Selon l'éditeur, c'est la première fois que s'appliquait juridiquement le Racketeer Influenced and Corrupt Organizations (RICO) Act dans la plainte déposée contre les responsables présumés.

Zeus a posé beaucoup de problèmes aux institutions financières en raison de sa nature furtive et de ses capacités de phishing auprès des services bancaires en ligne et de sites d'e-commerce pour détourner de l'argent. Dans une plainte déposée le 19 mars dernier devant le tribunal de New York, Microsoft accusait plusieurs personnes d'avoir infecté plus de 13 millions d'ordinateurs et d'avoir dérobé plus de 100 millions de dollars au cours des cinq dernières années. La plainte civile met en cause 39 accusés, dont beaucoup ne sont identifiés que par des pseudonymes, comme « Gribodemon » et « Harderman ».

C'est la dernière action menée par Microsoft contre les administrateurs de réseaux d'ordinateurs zombies. L'entreprise de Redmond avait déjà effectué une action en justice pour obtenir la permission de saisir les noms de domaine associés à l'infrastructure de commandement et de contrôle de réseaux de zombies comme Kelihos, Rustock et Waledac. L'éditeur avait également engagé une procédure civile contre ces opérateurs anonymes, mais sans grand succès, compte tenu des questions de compétence. Mark Debenham, senior manager, responsable des enquêtes à la Digital Crimes Unit mise en place par Microsoft, a déclaré que les créateurs de Zeus - ainsi que des malware parents comme SpyEye et Ice-IX - avaient vendu « des kits » prêts à l'emploi à des cybercriminels en herbe, au prix de 700 dollars pour le simple kit de base, jusqu'à 15 000 dollars et plus pour des versions très sophistiquées, selon le rapport qu'il a déposé.

Microsoft fédère autour de sa plainte et de son action

L'éditeur fait également remarquer que c'est la première fois que d'autres parties se joignent à une plainte impliquant des botnets. C'est le cas de l'association de sécurité à but non lucratif Financial Services Information Sharing and Analysis Center, et de la National Automated Clearing House Association (NACHA). Cette dernière supervise l'Automated Clearing House (ACH), un système vieillissant de compensation automatisée, toujours largement utilisé par les institutions financières pour échanger des informations sur les dépôts directs, les chèques et les transferts d'argent effectués par des entreprises et des particuliers. Le système ACH a été une cible privilégiée de Zeus.

D'après une déposition sous serment faite devant la cour par Pamela Moore, vice-présidente senior des services administratifs et directeur financier de NACHA, en août 2011, au cours d'une seule journée, 167 millions de mails de phishing censés émaner de l'institution ont été envoyés. Selon son témoignage, ces e-mails avaient pour objectif d'inciter les victimes à cliquer sur des liens pour les rediriger vers des serveurs malveillants et installer Zeus sur leurs machines. En temps normal, NACHA envoie environ 1 500 messages légitimes par jour. « Les botnets Zeus ont causé, et continuent de provoquer, de très sérieux dommages à l'institution et à ses membres. S'ils devaient perdurer, ils aggraveraient sûrement la situation, y compris d'ici à ce que la procédure aboutisse », a encore déclaré Pamela Moore à la justice.

En fin de semaine dernière, le tribunal a autorisé Microsoft et ses partenaires à saisir les serveurs situés à Scranton, en Pennsylvanie, et à Lombard, dans l'Illinois. Microsoft a également pris le contrôle de 800 noms de domaine associés à l'infrastructure de Zeus afin de couper totalement les opérateurs des réseaux qu'ils contrôlent. Selon Microsoft, l'opération, à laquelle se sont associés le vendeur de solutions de sécurité finlandais F-Secure et l'entreprise de sécurité Kyrus Tech, a permis de déconnecter plusieurs botnets Zeus. Reste à l'éditeur à identifier et à alerter les personnes dont les ordinateurs sont infectés par le logiciel malveillant.