Un groupe d'experts sur les malwares travaillant pour Kaspersky Lab, CrowdStrike, Dell SecureWorks et The Honeynet Project, ont collaboré pour désactiver un second botnet Kelihos, nettement plus grand que celui fermé par Microsoft et ses partenaires en septembre dernier. Ce botnet Kelihos, également connu sous le nom Hlux, a sans doute pris la suite des réseaux de zombies Waledac et Storm. Comme ses prédécesseurs, Hlux possède une architecture peer-to-peer, et était principalement utilisé pour le spam et le lancement d'attaques DDoS (attaques distribuées par déni de service).

En septembre 2011, un groupe d'entreprises réunissant Microsoft, Kaspersky Lab, SURFnet et Kyrus Tech, avaient réussi à prendre le contrôle du botnet original Kelihos et à désactiver ses infrastructures de commande et contrôle. Cependant, au mois de janvier, des chercheurs de Kaspersky Lab ont découvert une autre version du botnet, avec un protocole de communication amélioré et la capacité d'extraire et de voler des Bitcoins, un type de monnaie virtuelle. « La semaine dernière, suite à une surveillance de ce botnet qui s'est étalée sur plusieurs mois, le groupe d'experts a décidé de lancer une autre opération pour le désactiver, » a déclaré Stefan Ortloff de Kaspersky Lab dans un blog.

La technique dite de sinkholing

Désactiver des botnets ayant une architecture décentralisée comme Kelihos est une opération plus compliquée que saisir quelques serveurs de commande et de contrôle. En particulier parce que les clients des réseaux de zombies sont aussi capables d'échanger des instructions entre eux. Pour empêcher les auteurs du réseau de zombies de mettre à jour le botnet via l'infrastructure peer-to-peer, les spécialistes de la sécurité ont dû mettre en place leurs propres clients de réseaux zombies à travers le monde et utiliser des techniques spéciales pour tromper toutes les autres machines infectées, et les inciter à se connecter uniquement aux serveurs exploités par Kaspersky Lab. « Cette méthode est connue sous le nom de « sinkholing » », a déclaré Tillmann Werner, chercheur en sécurité chez CrowdStrike.