RSnake est d’humeur taquine, ces jours-ci. C’est en discutant à bâtons rompus avec un blackhat spécialiste de l’intrusion ciblée et de la pénétration (réseau) vicieuse que le papa du « clickjacking » s’est posé une question simple : Pourquoi s’enquiquiner à lancer des attaques risquées, se fatiguer à contourner des firewall, s’échiner à effacer ses traces en censurant les logs, passer des nuits blanches avec pour seule compagnie Nmap et une tasse de café, dans le seul but de cartographier les défenses périmétriques d’une banque ? Il est tellement plus simple de demander à un loueur de botnet s’il ne possède pas, parmi les zombies de son troupeau, des machines dépendant de tel domaine ou de tel groupe IP… car, compte-tenu de la taille des réseaux de bots actuels, il y a de fortes chance d’y découvrir des machines déjà compromises. Moins de stress, moins de fatigue, plus de sécurité, voilà une méthode qui pourrait rendre la vie plus supportable aux pirates de haut vol.
D’ailleurs, au lieu de lire des mémoires sur les PRA/PCA (plans de reprise ou de continuité d’activité), mieux vaut prendre exemple sur ces mêmes gardiens qui, eux, ont mis en pratique ce que les gens de l’industrie envisagent de déployer. La preuve ? C’est, nous apprend Security News, la rapidité avec laquelle la « coupure de service » d’un des plus gros hébergeurs marron Casaque a été réparée. Troyak.org est une maison réputée pour la qualité de son offre. Particulièrement dans l’hébergement de centres de contrôle et de commande de botnets en général et de Zeus en particulier (25 % de ce marché très lucratif). Mais, révèle ScanSafe, l’on aurait détecté une intense activité dans le trafic des malwares peu de temps avant ladite coupure puis, une fois le réseau de Troyak coupé du monde, une brutale baisse de l’activité de Zeus suivi d’une remontée en régime quasi immédiate. Tout indique donc que les gardiens de Botnets ont été prévenus largement à l’avance et ont eu le temps de mettre à jour l’intégralité de leur réseau.
Entre temps, Troyak est revenu à la vie. Ce serveur n’est pas que spécialisé dans l’hébergement de C&C. Il donne aussi dans les opérations de scam, de phishing et de pauvres demoiselles Russes en quête de l’homme de leur vie. L’on retrouve la trace de cet hébergeur dans bien des « portfolio » tenus à jour par Dancho Danchev.
Fourniture d’ordinateurs-traîtres à la demande, service rapide et permanent… que faut-il de plus ? La simplicité du mode opératoire, bien sûr. « Vous savez envoyer un email ? Alors vous avez toutes les capacités techniques nécessaires pour devenir exploitant de botnets » nous explique un article de SF-Gate (http://www.sfgate.com/cgi-bin/article.cgi?f=/c/a/2010/03/13/BU6J1CEPK6.DTL). Savoir expédier un email et surtout disposer d’une avance de fonds de 2500 $, de quoi acheter un ordinateur, le logiciel à fabriquer du botnet, un peu de support-client auprès d’un hacker noir chargé du SAV… Ca devient du travail d’amateur, la fin des botnets « cousus main », assemblés pièce par pièce par des gourous du code et des ténors du réseau.