Le ministère américain de la Justice a bloqué un botnet de millions d’appareils connectés ouvert à tous les malfaiteurs. Ce service était destiné à mener des campagnes d’hameçonnage.

C’était l’outil favori de milliers de hackers. Les États-Unis ont annoncé avoir démantelé le 16 juin un botnet, c’est-à-dire un réseau d’appareils connectés infectés, destiné à mener des cyberattaques. Baptisé RSOCKS, il permettait à des pirates d’informatiques d’utiliser des adresses IP d’ordinateurs ou d’objets compromis pour mener leurs opérations. Les appareils infectés sont détournés pour masquer la véritable source du piratage. Les enquêteurs pensent que ce botnet servait d’abord à anonymiser des campagnes de phishing ou des cyberattaques.

RSOCKS était un service ouvert à tous, assez facile à utiliser et recommandé par les hackers sur le darknet. Le prix pour se servir du réseau varie en fonction du nombre de proxies – appareils infectés – exploités : les malfaiteurs pouvaient accéder à 2 000 proxies pour 30 dollars par jour (environ 28,50 euros) et à 9 000 proxies pour 200 dollars la journée (environ 190 euros).

« Cette opération a permis de démanteler une organisation cybercriminelle très sophistiquée basée en Russie qui menait des intrusions aux États-Unis et à l’étranger », a déclaré l’agent spécial du FBI, Stacey Moy.

botnet
Le site de RSOCKS n’est désormais plus accessible. // Source : Numerama

Une connexion permanente avec les appareils compromis

Comme de nombreux botnets, RSOCKS ciblait initialement des objets connectés, mais s’est rapidement étendu aux systèmes de contrôle industriel, aux appareils Android et aux PC, selon le ministère américain de la Justice. Pour infecter un objet, les attaquants se servaient d’une attaque par force brute pour trouver un mot de passe et implanter le logiciel malveillant ensuite. Les serveurs principaux de RSOCKS ont maintenu une connexion persistante avec les appareils compromis. 

« Plusieurs grandes entités publiques et privées ont été victimes du botnet RSOCKS, notamment une université, un hôtel, un studio de télévision et un fabricant d’électronique, ainsi que des entreprises à domicile et des particuliers », précisent les autorités américaines.

Le ministère américain de la Justice a travaillé conjointement avec les forces de l’ordre allemandes, néerlandais et britanniques pour démanteler le botnet. En avril, un autre réseau d’ordinateurs infectés avait été bloqué par Washington.