Google vient de démanteler le réseau Glupteba, un botnet qui a diffusé des logiciels malveillants sur environ un million d'appareils Windows en utilisant la blockchain Bitcoin. Les pirates seraient Russes.

Google a annoncé mardi qu'il avait pris des mesures pour fermer un réseau d'environ un million d'appareils électroniques détournés utilisés dans le monde entier pour commettre des crimes en ligne. Google a notamment collaboré avec des fournisseurs d'hébergement Internet pour mettre hors service les serveurs qui communiquent avec le botnet nommé Glupteba.

Le « botnet » ou « réseau » d'appareils infectés était pris en charge et contrôlé à distance par des cybercriminels, et leur permettait de mener à bien des projets illicites ou encore des attaques par déni de service. Le réseau, qui était également utilisé pour miner des Bitcoins à l’insu des propriétaires des ordinateurs a été coupé, du moins pour l'instant, des personnes qui le manipulaient sur Internet.

Cependant, l'entreprise américaine prévient que le botnet pourrait revenir, grâce à un nouveau mécanisme de sauvegarde qui exploite la blockchain Bitcoin. En attendant, Google fait toujours face à d’autres menaces sur son réseau, puisque des pirates n’hésitent pas  à voler des comptes Google Cloud pour miner des cryptomonnaies. D’autres hackers ont également réussi à voler plus de 400 000 euros de cryptomonnaies grâce à des pubs Google.

Qu’est-ce que Glupteba, le botnet qui a infecté plus d’un million de PC Windows ?

Glupteba est un logiciel malveillant modulaire et basé sur la blockchain qui ciblait les appareils Windows dans le monde entier depuis au moins 2011, notamment aux États-Unis, en Inde, au Brésil et dans des pays d'Asie du Sud-Est. Au total, plus d’un million d’appareils auraient été infectés, et des milliers de nouvelles machines étaient compromises chaque jour.

Pour se propager facilement, le botnet se faisait passer pour un logiciel, une vidéo ou un film gratuit et téléchargeable que les utilisateurs installaient à leur insu sur leurs appareils. Les pirates se servaient ainsi des machines infectées pour voler des données personnelles, miner des cryptomonnaies comme du Bitcoin et faire transiter d'autres trafics Internet. Comme le botnet avait accès à la puissance d'environ un million d'appareils, il possédait un réseau d’envergure qui pouvait être utilisé pour lancer des ransomwares ou d'autres attaques à grande échelle. Il était donc nécessaire pour le groupe américain de prendre des mesures le plus rapidement possible pour stopper sa propagation.

Le botnet Glupteba a toujours été difficile à cibler, puisque celui-ci utilise la technologie blockchain pour se protéger. Le groupe d'analyse des menaces de Google a travaillé au cours de l'année écoulée pour perturber le botnet en supprimant environ 63 millions de Google Docs, plus de 1 100 comptes Google, plus de 900 projets Cloud et 870 comptes Google Ads qui contribuaient à la diffusion du réseau.

À lire également : Un botnet menace des centaines de milliers d’objets connectés

Google engage des poursuites contre les auteurs de Glupteba

Google a annoncé mardi qu'il engageait des poursuites judiciaires pour perturber un réseau de bots géré par des opérateurs basés en Russie, entre autres mesures destinées à lutter contre ce groupe. Dans une plainte déposée auprès du tribunal fédéral du district sud de New York, Google désigne les ressortissants russes Dmitry Starovikov et Alexander Filippov comme les deux principaux opérateurs du botnet Glupteba, citant les comptes Gmail et Google Workspace qu'ils auraient créés pour les aider à exploiter l'entreprise criminelle.

Cependant, 15 autres individus encore non identifiés auraient également été repérés. L'entreprise les poursuit dans l'espoir de « créer un précédent, de faire courir des risques juridiques et de responsabilité aux opérateurs de botnet et de contribuer à dissuader toute activité future ».

Il s’agirait de la première fois que Google s'en prend à un botnet, a indiqué un porte-parole de l'entreprise de Mountain View, en Californie, dans un courriel. « Nous prenons cette mesure pour mieux protéger les internautes et pour faire comprendre aux cybercriminels que nous ne tolérerons pas ce type d'activité ».

De leur côté, le gouvernement américain et l’administration Biden ont également déclaré la guerre aux cybercriminels, et en particulier aux ransomware. Le président américain avait récemment convoqué 30 pays membres de l’OTAN et du G7 pour en finir avec les menaces en ligne et le cyberterrorisme. On espère que de nouvelles mesures de lutte contre la cybercriminalité vont bientôt mieux protéger les internautes à travers le monde.

Source : Google