FBI vs CoreFlood

Via TheRegister et Wired :

Le FBI a obtenu l’autorisation auprès du Département de la Justice US de s’attaquer au botnet CoreFlood utilisé par des cybercriminels pour voler des données bancaires.

Armé de cet autorisation, il a embauché l’Internet Systems Consortium (ISC) pour la partie technique qui consistait à faire tomber le botnet.

La plainte contre X qui a été faite a en effet permis au FBI de récupérer le contrôle de deux IPs de serveur C&C (command and control) et sur 29 noms de domaines utilisés par le CoreFlood gang.
Ils ont alors placé un serveur C&C de substitution et envoyé aux machines infectées une commande stop qui arrête le processus du malware.

Les conséquences de cette cyber opération de grande envergure est à prendre avec du recul car le malware est conçu pour se réactiver au prochain reboot de la machine infectée… Il faut donc une action de l’utilisateur (ou de son AV) pour totalement éradiquer le malware sur la machine.

Le FBI a indiqué avoir logué les IPs des machines infectés et compte prendre contact avec les FAIs U.S. pour faire remonter aux utilisateurs le fait qu’ils sont infectés.

Ce type d’opération, qui est une première aux USA, a déjà eu lieu aux Pays-Bas pour faire tomber le botnet Bredolab , sauf qu’ils étaient allés plus loin en faisant uploader et exécuter du code à eux sur les machines et en faisant afficher un message d’alerte.

L’organisation EFF a exprimé son inquiétude vis à vis de cette opération car on ne peut pas connaitre à 100% quels effets secondaires auront la désactivation du malware sur les machines des particuliers.

On peut ensuite être effrayé par le fait que le FBI détourne ainsi une cyber-arme de ce type… A ce sujet F-Secure a ouvert un sondage.

Une réflexion au sujet de « FBI vs CoreFlood »

Les commentaires sont fermés.