Deux réseaux de PC zombies s'allient ?

Des experts en sécurité ont constaté que les botnets Srizbi et Rustock exploitaient le même cheval de Troie pour mettre à jour leur code : Trojan.Exchanger. Une alliance effective des botnets n'est toutefois pas démontrée.

La rivalité entre les deux réseaux d'ordinateurs zombies les plus prolifiques en matière de diffusion de spam pourrait n'avoir jamais eu lieu d'être, à moins qu'elle n'ait été abolie par une alliance entre les cybercriminels derrières les deux botnets. C'est du moins la question que se posent deux experts en sécurité de FireEye. Ils ont en effet constaté que ces botnets, Srizbi et Rustock s'appuient désormais sur le même cheval de Troie : Trojan.Exchanger.

Rustock, qui a récemment surclassé Srizbi comme premier réseau de diffusion de spam, a exploité le programme malveillant grâce à de faux emails concernant les Jeux Olympiques 2008 et des alertes CNN factices. Quant à Srizbi, il est plus souvent associé à de faux messages pour des DVD et des vidéos. Pourtant en concurrence pour monétiser l'argent du spam, les botnets se sont rapprochés par le biais de Trojan.Exchanger, mis à contribution pour propager la dernière version de leur bot. 

Si les experts en sécurité jugent la découverte surprenante, ils hésitent toutefois encore à conclure que Srizbi et Rustock seraient administrés par un seul et même opérateur, soupçonné d'être le réseau Russian Business Network (RBN). Ce dernier, implanté en Russie, est souvent cité pour ses contributions à la cybercriminalité, notamment en matière de phishing.

Un échange de services plus probable qu'une réelle alliance

Pour d'autres chercheurs cités par Dark Reading, les commanditaires, c'est-à-dire les spammeurs, seraient les premiers en cause, en cherchant par exemple à diversifier la diffusion de leurs campagnes sur plusieurs botnets distincts. Une coordination entre les clients des opérateurs des deux botnets n'est pas non plus à écarter. Cependant, dans cette hypothèse, les machines zombies demeureraient attachées à des réseaux différents, de même que les infrastructures de contrôle.

Une fusion poussée paraît pour le moment peu probable, et risquée pour les cybercriminels. En effet, le démantèlement par la police ou des experts en sécurité de l'un des botnets aboutirait à rendre également inopérant le second. Il peut donc sembler plus prudent pour les cybercriminels, même dans le cadre d'une alliance ou d'un échange de services, de conserver des systèmes cloisonnés. 

Selon d'autres experts, afin d'éviter un filtrage par les logiciels de sécurité, il est plus vraisemblable que les spammeurs répartissent leurs activités, utilisant ainsi un botnet pour la diffusion d'emails infectés par des programmes malveillants, et un deuxième botnet pour les messages publicitaires classiques.

Si l'utilisation des botnets pour le spam est source de désagréments, elle inspire moins l'inquiétude qu'une exploitation pour des attaques ciblées, comme dans le cadre du rançonnement de sites en ligne, notamment de jeux. De même, les botnets ont fait preuve de leur efficacité en tant qu'outil offensif, comme par exemple en Estonie et plus récemment en Géorgie dont des sites ont été saturés dans le but de les rendre inaccessibles.

Alliance / Cheval de Troie