Le Centre de lutte contre les criminalités numériques (C3N) de la gendarmerie nationale a démantelé le Retadup, un botnet qui avait infecté plus de 850 000 ordinateurs. L’opération a été conduite entre le 2 juillet et le 19 août 2019 avec l’aide du groupe tchèque de cybersécurité Avast et du FBI.
Les victimes principalement situées en Amérique latine
Grâce à la collaboration entre les chercheurs en sécurité d’Avast, les gendarmes français et le FBI, un vaste réseau de machines infectées par un ver a pu être neutralisé cet été. Le botnet Retadup concernait plus de 850 000 machines zombies situées principalement en Amérique latine, dont 322 340 au Pérou, 130 469 au Venezuela et 83 858 en Bolivie. Les autres pays infectés sont l’Équateur, le Mexique, la Colombie, le Brésil, mais aussi les États-Unis, la Russie Madagascar et même Israël. En 2016, les ordinateurs et serveurs infectés avaient servi à conduire plusieurs cyberattaques contre des établissements de santé de ce dernier pays.
Toutefois, le botnet Retadup avait pour objectif premier d’installer un logiciel de minage de moneros, une cryptomonnaie open-source, créée en 2014 et qui a supplanté le bitcoin dans les demandes de rançons des pirates informatiques depuis l’an dernier. Ses serveurs de commande et contrôle (C&C) étaient, en majeure partie, hébergés en Île-de-France. C’est pourquoi les chercheurs en sécurité d’Avast, qui ont réussi à identifier cette infrastructure, se sont tournés fin mars 2019 vers les gendarmes du C3N (Centre de lutte contre les criminalités numériques) pour neutraliser le botnet. Une autre partie de l’infrastructure, localisée aux États-Unis, a été également démantelée avec l’aide du FBI.
Un antidote trouvé pour les machines infectées
Pour démonter le réseau, les chercheurs d’Avast ont procédé à une analyse d’exemplaires du ver Retadup (copies remises par le C3N), qui leur a permis de détecter une faille dans le protocole de communication des serveurs C&C. Grâce à cette vulnérabilité, il devenait alors possible d’envoyer un script de désinfection vers les machines zombies, à condition de pouvoir prendre le contrôle de ces serveurs. Pour le faire, les gendarmes ont présenté leur plan de démantèlement au Parquet de Paris qui a donné son feu vert. C’est ainsi que le 2 juillet, les serveurs de C&C ont été remplacés par des serveurs de désinfection qui se sont connectés aux machines zombies pour leur transférer l’antidote. Le même scenario a été appliqué par le FBI aux Etats Unis. Le 8 juillet, les pirates n’avaient plus aucun contrôle sur les machines de leurs victimes.
Une véritable « libération d’otages »
Fait marrant, les serveurs C&C étaient eux-mêmes infectés par un cheval de Troie baptisé Neshta/Apanas. « Comme quoi les auteurs de malware feraient bien d’utiliser, eux aussi, des logiciels antivirus », a ironisé un chercheur d’Avast.
La direction générale de la gendarmerie nationale souligne dans un communiqué qu’une telle opération constitue une « première mondiale » puisqu’elle a été menée en collaboration avec les équipes d’Avast et le FPI. Elle compare en outre l’intervention à une « libération d’otages ».