L'équipe de l'évaluation des vulnérabilités du cabinet Rapid7 a identifié un botnet contrôlé par ses créateurs au travers du réseau d'anonymisation Tor. Il est probable que d'autres opérateurs de botnets adopteront cette approche. Le botnet est appelé Skynet et peut être utilisé pour lancer des attaques de type DDoS (déni distribué de service), générer des Bitcoins - un type de monnaie virtuelle - en utilisant la puissance de traitement des cartes graphiques installées sur les ordinateurs infectés, télécharger et exécuter des fichiers ou voler des identifiants de connexion pour des sites web, y compris les services bancaires en ligne.

Cependant, ce qui fait vraiment que ce botnet se démarque, c'est que sa commande et le contrôle (C & C) des serveurs sont accessibles uniquement depuis le réseau Tor en utilisant le protocole service caché (hidden service protocol). Les services cachés par Tor sont le plus souvent des serveurs web, mais peuvent aussi être du chat ' (Internet Relay Chat ou IRC), le SSH (Secure Shell) et d'autres types de serveurs.

Ces services ne sont accessibles que depuis l'intérieur du réseau Tor grâce à une recherche de nom d'hôte au hasard, qui s'achève au niveau du pseudo nom de domaine .onion. Le protocole de service caché a été conçu pour masquer l'adresse IP des clients du service et celle du service auprès des clients, ce qui rend presque impossible pour les parties concernées de déterminer l'emplacement physique ou la véritable identité de chacune des parties. Comme tout le trafic transitant par le réseau Tor, celui entre un client Tor et un service caché est chiffré et est acheminé au hasard via une série d'autres ordinateurs agissant comme des relais Tor.

Un botnet toujours vivant et puissant

Les services cachés de Tor sont parfaits pour une opération de botnet, estime Claudio Guarnieri, chercheur en sécurité à Rapid7 et créateur du système Cuckoo Sandbox pour l'analyse des programmes malveillants. « Pour autant que je sache, il n'existe aucun moyen technique de tracer et certainement pas pour abattre les services cachés utilisés pour du  C & C » écrit-il.

Claudio Guarnieri a publié un billet de blog sur le botnet Skynet. Il pense que ce dernier est le même que celui décrit par un opérateur de botnet qui s'est confessé dans un fil "IAMA" (I am a) sur Reddit, il y a sept mois. Les discussions Reddit « IAMA » ou « AMA » (ask me anything) permettent aux personnes qui effectuent divers travaux ou différentes occupations de répondre aux questions des autres utilisateurs Reddit.

Malgré la richesse des informations sur ce réseau de zombies Skynet offertes par son créateur sur Reddit il y a sept mois, le botnet est toujours vivant et fort. En fait, les chercheurs de Rapid7 estiment que la taille actuelle du réseau de zombies est de 12 000 à 15 000 ordinateurs infectés, jusqu'à 50% de plus que ce que son opérateur estimait il y a 7 mois. Le malware derrière ce botnet est distribué par Usenet, un système construit à l'origine au début des années 1980 comme une plate-forme de discussion distribuée, mais désormais couramment utilisée pour distribuer des logiciels piratés et leur contenu, communément appelé « warez ».

« Nous l'avons d'ailleurs trouvé par hasard sur Usenet et commencé à creuser et réalisé que l'opérateur reconditionne et télécharge automatiquement le malware pour chaque nouvelle version de warez », déclare Claudio Guarnieri. « Il pourrait être susceptible de se retrouver sur d'autres plates-formes de partage de fichiers, mais nous n'avons aucune preuve à ce stade. » Le contenu de Usenet est souvent téléchargé par les utilisateurs et redistribué par le biais d'autres technologies de partage de fichiers comme BitTorrent.

Le malware Skynet a plusieurs composantes: un bot contrôlé par IRC qui permet de lancer plusieurs types d'attaques par déni de service et d'effectuer plusieurs autres actions, un client Tor pour Windows, une application d'exploration Bitcoin et une version du programme de cheval de Troie Zeus, qui est capable de s'accrocher dans les processus de navigation et de voler des identifiants de connexion pour des sites web.

[[page]]

Alors qu'il est bon pour l'anonymat, Tor ne présente que des inconvénients pour une opération de botnet, tels que des délais de latence et parfois l'instabilité. « Il est évident qu'ils [les opérateurs de botnets] ne peuvent tout simplement pas tout faire passer au travers de Tor », estime Claudio Guarnieri. « Si le botnet effectue des communications lourdes, fréquentes et bruyantes, alors cela pourrait être problématique. » Cependant, si l'objectif est seulement que les machines infectées retrouvent des commandes à partir d'un serveur dans un délai raisonnable, sans exposer leur localisation, alors Tor fonctionne assez bien, ajoute l'expert. « Je suis sûr que ce modèle sera certainement répliqués pour d'autres botnets. »

Un modèle réplicable ?


« C'est un sujet majeur de préoccupation », pense Bogdan Botezatu, analyste chez le fabricant d'antivirus Bitdefender.  « Si on peut rester anonyme pendant sept mois en routant les commandes C & C d'un botnet via Tor, alors d'autres botmasters vont l'utiliser. » Cela dit, Bodgan Botezatu estime que Tor peut ne pas être approprié pour de grands réseaux de zombies parce que le réseau Tor, qui est déjà relativement lent, pourrait ne pas être en mesure de gérer un grand nombre de connexions simultanées.

L'impact des réseaux de zombies sur le réseau Tor lui-même dépend vraiment de l'ampleur des attaques, selon Caudio Guarnieri. Une des caractéristiques du réseau de zombies Skynet est que chaque machine infectée devient un relais Tor, ce qui rend ironiquement le réseau Tor plus important et capable de supporter la charge, décrit-il.

Les créateurs de botnets ont récemment mis en oeuvre des solutions peer-to-peer pour des fins de commande et de contrôle plutôt que d'utiliser Tor, car elles offrent le même niveau d'anonymat et une résilience accrue sans introduire de problèmes de latence, rappelle Bodgan Botezatu. En outre, les implémentations en peer-to-peer ont déjà été bien documentées et testées, dit-il. L'approche basée sur Tor n'est pas nouvelle, affirme quant à lui, Marco Preuss, directeur de la recherche pour le fournisseur d'anti-virus de Kaspersky Lab. « Au cours des dernières années plusieurs présentations et des documents de recherche ont mentionné cette méthode pour les réseaux de zombies. »

Vers une liste noire


« L'un des inconvénients les plus importants est que la mise en oeuvre est complexe, les erreurs conduisent alors à une détection facile, et la vitesse est aussi un inconvénient »,  dit-il. Selon la façon dont Tor est utilisé dans l'infrastructure du réseau de zombies, il pourrait y avoir des solutions pour détecter et bloquer le trafic, ainsi que pour désactiver le botnet.

« Un seul botnet d'environ dix mille machines n'est pas un problème pour l'Internet mondial, mais, si les choses dégénèrent, nous sommes sûrs que les administrateurs coopéreront avec les FAI et les forces de l'ordre afin d'abattre le trafic malveillant », pense Bodgan Botezatu. « Après tout, Tor a été conçu pour l'anonymat et la vie privée, pas pour la cybercriminalité. »

Il ajoute : « Une contre-mesure que les entreprises ou les fournisseurs d'accès pourraient au final appliquer dans leur pare-feu est de rejeter tous les paquets qui proviennent de noeuds Tor connus, afin de minimiser la quantité de trafic potentiellement malveillant qu'ils reçoivent.»  Il conclut : « Bien sûr, cela pourrait aussi placer sur liste noire un certain nombre d'utilisateurs de Tor légitimes à la recherche d'anonymat. »