En milieu de semaine, plusieurs experts en sécurité informatique ont constaté avec étonnement une baisse d'activité du botnet Rustock, jusqu'à considérer que ce dernier avait été réduit au silence, peut-être dans le cadre d'une forme d'opération de maintenance. Cette interrogation vient de trouver une réponse puisque la firme de Redmond indique avoir participer au démantèlement de Rustock. Un mot démantèlement à prendre avec des pincettes car en la matière, difficile de dire que quelque chose est définitivement acquis.
Rustock était l'un des plus gros diffuseurs de spam à travers la planète avec à sa solde près d'un million d'ordinateurs infectés. Ces ordinateurs contaminés par un malware sont passés sous les ordres de Rustock et ont permis l'envoi à leur insu de près de 30 milliards de spams par jour ! Un chiffre astronomique mais l'activité de Rustock a été fluctuante et n'a pas toujours été maintenue à de tels niveaux.
D'après Microsoft, un seul ordinateur infecté était capable d'envoyer 7 500 spams en seulement 45 minutes, soit un rythme de 240 000 par jour. Du spam potentiellement dangereux puisque bien souvent lié à des produits pharmaceutiques contrefaits.
Pour démanteler Rustock, Microsoft a mené une attaque sur le front technique et judiciaire. Initiée aux États-Unis, l'action en justice a été facilitée dans la mesure où les marques Microsoft et Hotmail ont été impliquées dans le spam sous l'égide de Rustock. Le géant du logiciel a ainsi déposé une plainte le mois dernier ( PDF ) contre les opérateurs anonymes du botnet Rustock.
Mercredi, des US Marshals ont saisi des disques durs et des serveurs chez cinq fournisseurs d'hébergement dans sept villes aux États-Unis ( Kansas City, Scranton, Denver, Dallas, Chicago, Seattle, Columbus ). Une action similaire a été menée aux Pays-Bas où un serveur Rustock avait été localisé. Tout ce matériel sera analysé pour en connaître encore davantage sur les opérations menées via Rustock.
Deuxième action MS après Wadelac
Il y a près d'un an, Microsoft avait déjà fait tomber le botnet Wadelac dans le cadre d'une Opération b49 similaire. Pour Rustock, l'Operation b107 a toutefois été légèrement différente dans la mesure où le botnet était contrôlé grâce à des adresses IP sur des douzaines de disques durs et serveurs. Pour Wadelac, Microsoft avait obtenu d'un juge l'autorisation de désactiver 277 noms de domaines Internet qui le contrôlaient.
Cette action a été menée dans le plus grand secret, sans quoi elle aurait pu échouer. Elle a également demandé un gros effort de collaboration et Microsoft cite par exemple l'entreprise pharmaceutique Pfizer, la société de sécurité réseau FireEye, des experts en sécurité à l'Université de Washington... Microsoft a également travaillé avec le CN-CERT afin de bloquer l'enregistrement de domaines en Chine que Rustock aurait pu utiliser pour de futurs serveurs de contrôle-commande.
Désormais, il va falloir mettre un nom sur les opérateurs anonymes de Rustock. Un effort de sensibilisation doit aussi être mené et de tels démantèlements sont un rappel pour les utilisateurs finaux afin qu'ils disposent d'une solution de sécurité à jour, soient vigilants ( sites Web suspects, pièces jointes dans un e-mail ) pour éviter une infection de leur ordinateur par un malware.