Le botnet Kelihos reprend du service

Le botnet kelihos

Désactivé par les efforts conjoints de Microsoft et de Kaspersky en septembre dernier le botnet Kelihos, tel le Phoenix, semble renaître de ses cendres.

Le botnet Kelihos à infecté prés de 45 000 ordinateurs à travers le monde, à sa grande époque il envoyait jusqu’à 4 milliards de spams par jour.

En septembre 2011, les chercheurs en sécurité de Microsoft et de Kaspersky ont réussi a prendre la main sur le botnet  en détournant les requêtes de controle du botnet vers une machine qu’ils contrôlaient. Hélas il semblerait que les forces obscures ont réussi à contourner les contres mesures et ont repris le controle des machines composant le botnet.

De plus il semblerait qu’une nouvelle version de Kelihos à vu le jour, sa principale modification est de chiffrer les communications entres les différents noeuds du réseau pour rendre plus difficile le travail des chercheurs en sécurité.

Cette nouvelle aventure du botnet Kelihos fait suite à l’annonce de Microsoft qui il y a quelques jour à annoncé avoir “découvert l’auteur du botnet Kelihos“. Visiblement il n’était pas le seul à avoir les clés du réseau…

 

Le créateur du botnet Kelihos démasqué

Kelihos botnet auteur

Quatre mois après avoir démantelé le botnet Kelihos Microsoft annonce avoir identifié son auteur.

Le botnet Kelihos, utilisé pour envoyer des spams et voler des données personelles, aurait été codé par Andrey N. Sabelnikov, un Russe résidant à Saint-Pétersbourg.

Sabelnikov, travaille officiellement comme freelance en tant que développeur et consultant, il à précédemment travaillé en tant qu’ingénieur pour une “compagnie qui développe des antivirus“.

Botnet

Un botnet est un ensemble de machines compromises (ordinateurs personnels, serveurs, postes de travail en entreprise,..) reliées entre elles via internet.

Ce réseau, controlé à distance, est utilisé à des fins malveillantes :

  • Pour relayer des spams.
  • Pour relayer des phishing.
  • Pour lancer des attaques par denis de service (DOS).

Voici une illustration qui explique le fonctionnement d’un botnet:

qu'est ce qu'un botnet

Botnet

  1. Le gestionnaire du botnet diffuse des virus pour infecter un maximum d’ordinateurs. Sur chaque machine infectée, un programe résident va s’exécuter (le bot).
  2. Le bot va alors se faire connaitre auprés d’un serveur central qui va être utilisé pour gérer le botnet.
  3. Un spammeur va payer l’opérateur du botnet pour y avoir accés.
  4. Le spammeur utilise le botnet pour diffuser ses spams.

Credit illustration: Tom-b

Operation Ghost Click: Un réseau de 4 millions de botnets démantelé par le FBI

Après deux ans d’enquête le FBI à mis fin aux activités d’un réseau de PC zombies.

Initialisé en 2007, ce réseau c’est déployé par la diffusion du virus DNSChanger qui à infecté au final plus de 4 millions de machines a travers le monde. Ce botnet à été utilisé pour détourner les clics des utilisateurs des machines infectées (Click Hijacking), vers des bannières publicitaires générant ainsi de confortables revenus.
D’après les estimations du FBI, ces revenus, sur la période concernée, s’élèveraient à 14 millions de dollars US.

Les “tetes pensantes” du réseau, six Estoniens, ont été arrêtés, ils risqueraient jusqu’a 30 ans de prison.

Source FBI