Une rivalité naissante entre deux réseaux de PC zombies ?

Mais qui veut la peau de Storm Botnet ? Pour nombre d'éditeurs de solutions de sécurité et d'éditorialistes, le challenger prêt à le renverser du haut de son trône d'où il règne sur une légion de PC zombies, a un nom : Nugache. Les bulletins de sécurité fleurissent sur leurs menaces, et présentent déjà pour certains ce cheval de Troie, bâti sur le même principe que Storm, comme la relève.

Nugache n'est pourtant pas un inconnu pour les experts puisqu'il sévit depuis déjà plusieurs mois, avec peut-être toutefois plus de réserve que Storm Botnet. Comme ce dernier, Nugache représente la dernière génération en matière de réseaux zombies avec un fonctionnement en P2P et un chiffrement des communications entre les bots. Contrairement aux précédents botnets, tous deux ne reposent pas sur un centre de contrôle unique qu'il suffirait de déconnecter pour faire écrouler le réseau.

Nugache aussi bien que Storm incarne l'économie du malware, centrée sur l'enrichissement des pirates. Ce que Raimund Genes de Trend Micro appelle le Malware as a Service, dans lequel les botnets tiennent une place centrale. Polyvalents, ces derniers peuvent en effet être exploités pour plusieurs tâches, générant toutes de l'argent. Il s'agit notamment du spam (dont des messages de spéculation boursière pump-and-dump), une activité présentée comme particulièrement rentable, mais aussi du phishing et parfois également du chantage au déni de service.

Des ordinateurs compromis par Storm ont très récemment été utilisés pour des opérations de phishing contre deux banques : Barclays et la Banque nationale d'Ecosse. Pour acheminer ces messages leurres, des machines hôtes de Storm Botnet ont vraisemblablement été louées. Si technologiquement Nugache et Storm se ressemblent, plusieurs observateurs relèvent des éléments faisant état d'une concurrence entre les deux réseaux.

Sa propagation jugée jusqu'à récemment comme modérée se serait accélérée, grâce notamment à l'intégration de nouvelles fonctionnalités (chiffrement, rootkit, infection Web). Pour Secure Computing, Nugache serait une des principales causes de la chute des prix sur le spam. Des offres proposent ainsi d'expédier 1 million de messages pour seulement 100 dollars. Une façon supposée de casser les prix pratiqués par Storm Botnet.

Que les auteurs des deux réseaux soient entrés ou non en concurrence est avant tout préjudiciable aux internautes. Storm et Nugache se propagent en effet en référençant dans Google des blogs ou d'autres sites destinés à contaminer les internautes. Cela accroît en conséquence les risques pour les utilisateurs de naviguer sur des sites comprenant des scripts conçus pour tester des vulnérabilités et le cas échéant exécuter du code malveillant.

Plus que la rivalité ou non des deux réseaux, la suprématie du premier sur le second, ou inversement, la montée en puissance de Nugache caractérise avant tout une évolution technologique, dont une généralisation serait à craindre. "Avec ces bots, les pirates ont entre les mains des technologies de réseaux parallèles permettant de déployer n'importe quelle attaque - spam, chantage, stockage de micro-code malicieux à durée limitée", alertait le chercheur de Kaspersky.