Démantèlement du botnet criminel RSocks

David Strom 10 août 2022

RSocks compromettait ses victimes à travers des attaques par force brute contre divers appareils IoT, ainsi que des smartphones et des ordinateurs.

Le ministère américain de la Justice a annoncé le démantèlement du botnet IoT russe et du service proxy pour location RSocks. En collaboration avec divers organismes européens de maintien de l’ordre, le FBI a procédé à des achats sous couverture de services du site afin de cartographier son infrastructure et ses opérations. 

RSocks compromettait ses victimes à travers des attaques par force brute visant divers appareils IoT (tels que des systèmes de contrôle industriel, des appareils de streaming et des serrures connectées de porte de garage), ainsi que des smartphones et des ordinateurs. Au cours de son enquête, qu’il a démarrée dans la région de San Diego, le département de la Justice a découvert des milliers d’entités touchées, notamment des universités, un studio de télévision, diverses entreprises installées à domicile et des particuliers. Les opérateurs de Rsocks ont admis avoir collecté plus de 8 millions d’appareils dans le cadre de leur réseau criminel, dont 1 million d’adresses IP mobiles. Le département de la Justice a déclaré avoir pris connaissance du botnet en 2017, alors qu’il avait compromis plus de 350 000 appareils.

RSocks a permis à d’autres criminels d’acheter très facilement une série d’adresses IP. Le botnet exploitait une interface en ligne où les utilisateurs pouvaient louer des pools d’adresses pour une période donnée (de quelques jours à plusieurs mois) à partir de 30 dollars par jour pour 2 000 adresses. Une petite entreprise comme les autres ? Pas du tout ! 

Nous avons déjà abordé les utilisations criminelles des services proxy, mais pour rappel, ceux-ci ont des applications légitimes qui permettent de fournir une série d’adresses IP afin de contourner la censure ou les contenus géobloqués. De nombreuses sociétés utilisent aussi des serveurs proxy inversés pour sécuriser leurs bureaux distants. L’entreprise RSocks a été utilisée pour pénétrer dans les réseaux et distribuer des malwares servant des attaques de « credential stuffing » (bourrage d’identification) ou d’envoi de phishing. En résumé, tout ce qu’un pirate peut concevoir qui nécessite un ensemble de points d’accès à contrôler à des fins néfastes.  

Le botnet RSocks n’est pas le premier botnet (russe ou autre) à être démantelé. En début d’année, une autre opération du FBI a permis de démanteler le botnet connu sous le nom de Cyclops Blink. Celui-ci était exploité par un groupe de pirates travaillant pour le GRU russe, le service de renseignement militaire du pays. Heureusement, de nombreux autres botnets ont été démantelés au fil des années, comme Trickbot en 2020, le botnet Geost en 2019 et le botnet Hide ’N Seek en 2018. La particularité de RSocks tient toutefois à sa longévité et à la taille de son réseau. Parmi les autres botnets notables démantelés par des sociétés privées figurent Gluteba (démantelé par Google en 2021) et Necurs (démantelé par Microsoft en 2020), qui avait à l’époque réussi à contrôler 9 millions d’ordinateurs. 

Brian Krebs a enquêté sur les origines de RSocks et a découvert que Denis Kloster, 35 ans, pourrait être le créateur du botnet et diriger l’un des plus grands forums criminels basés en Russie. M. Krebs affirme également que le botnet est en activité depuis 2014, année où il l’a trouvé mentionné sur de multiples forums de cybercriminalité en langue russe.

Votre ordinateur fait-il partie d’un botnet criminel ?

Difficile à dire. Bien entendu, si vous remarquez que votre ordinateur est occupé alors qu’il devrait être inactif ou qu’il se connecte sans aucune raison, cela peut être le signe qu’il est infecté et que quelqu’un le contrôle. Mais cela pourrait aussi être dû à un logiciel au comportement inadéquat. Pour le savoir, vous pouvez notamment utiliser Avast BreachGuard afin de déterminer si vos informations personnelles ont fait l’objet d’une violation de données.

Comment arrêter les attaques de botnet ?

Il n’y a pas de solution miracle pour arrêter les réseaux de botnets criminels, car il est facile pour les pirates de créer et d’étendre leurs réseaux au moyen de toutes sortes d’appareils compromis.

Il convient toutefois de suivre certaines règles de base :

  • Tout d’abord, maintenez votre système d’exploitation et vos principaux logiciels à jour en installant les derniers correctifs et mises à jour.
  • Ne cliquez pas sur les liens en ligne et ne téléchargez rien à partir de sources non fiables.
  • Utilisez un antivirus (ou une meilleure protection comme indiqué ci-dessus) et veillez à sa mise à jour.

En outre, vous pouvez examiner tous vos équipements, y compris les routeurs et autres dispositifs IoT, et désactiver l’accès SSH si vous ne l’utilisez pas ou le remplacer par un port non standard si vous l’utilisez. Comme nous le répétons souvent, si l’authentification multifacteurs est disponible pour protéger vos identifiants de connexion, activez-la.

Si vous êtes à la recherche d’un nouveau fournisseur d’accès à Internet, évitez tous ceux qui ont été exploités par des criminels dans le passé. Identifiez également tous vos équipements IoT, puis modifiez les identifiants par défaut de tous vos appareils, si possible.

--> -->