Environ un million d’appareils, fonctionnant sous Windows, ont été piratés par un botnet baptisé Glupteba, selon Google. Cette attaque importante devait permettre aux pirates de lancer des rançongiciels. Le géant américain a déposé plainte et désigne deux ressortissants russes comme les principaux organisateurs des attaques. Cette affaire démontre l’importance des grandes entreprises technologiques dans la lutte contre la cybercriminalité.

Glupteba, un botnet connu depuis 2011

Les botnets, contraction de robot et network, désignent un ensemble d’appareils connectés à Internet, sur lesquels s’exécutent des tâches. Initialement, un botnet n’est pas en soi une attaque informatique. Seulement, ce terme s’est étendu à des réseaux de machines zombies, contrôlés par des pirates. Google définit un botnet comme « un réseau d'appareils connectés à Internet qui ont été infectés par un type de malware qui les place sous le contrôle de mauvais acteurs ».

« Les botnets constituent une menace réelle pour les internautes », explique Royal Hansen, vice-président et responsable de la sécurité et Halimah DeLaine Prado, avocat général, dans un premier communiqué de Google. Dans cette affaire, le réseau d’appareils touchés nommé Glupteba, servait au minage de bitcoins.

La société a déposé plainte auprès du tribunal du district sud de New York pour « fraude et abus informatiques, contrefaçon de marque et autres réclamations ». Les Russes Dmitry Starovikov et Alexander Filippov sont soupçonnés par la société comme les principaux opérateurs du botnet. Ils auraient créé des comptes Gmail et Google Workspace pour leur permettre de mener leur projet. Le géant technologique réclame des dommages et intérêts ainsi que l’interdiction totale d’utiliser ses services.

Exemple d'arnaque à la cryptomonnaie téléchargée sur Google Ads par les services Glupteba

Glupteba servait, entre autres, aux pirates à miner du bitcoin et à en voler à travers des arnaques à la cryptomonnaie téléchargées sur Google Ads. Image : Google.

L’existence de Glupteba a déjà été révélée en 2011, par des experts en cybersécurité. Il a été remarqué en se faisait passer pour des vidéos et des logiciels gratuits à télécharger.

63 millions de documents supprimés par Google

Google TAG, le groupe d’analyse des menaces de Google, a constaté que l’attaque a ciblé des victimes situées aux États-Unis, au Brésil, en Inde, au Vietnam et dans certaines parties d’Asie du Sud-Est. Le géant américain a annoncé qu’il coopérait avec des fournisseurs d’accès Internet pour perturber l’infrastructure de commande et de contrôle des clés du botnet. Concrètement, cela signifie que ceux qui le géraient jusqu’à présent n’en ont plus le contrôle.

63 millions de documents situés dans Google Docs ont été retirés par les équipes du géant américain et 1 100 profils Google spécialement créés pour diffuser Glupteba ont été supprimés, selon un second communiqué de Shane Huntley et Luca Nagy, du TAG. S’ajoute la suppression de 908 projets cloud et de 870 comptes Google Ads, « 3,5 millions d'utilisateurs ont été avertis avant de télécharger un fichier malveillant via les avertissements de Google Safe Browsing », détaille le communiqué.

L’infection se déroule de manière assez classique. L’utilisateur est invité à télécharger un logiciel ou à cliquer sur un lien, ce qui permet aux pirates d’infecter l’appareil. L’entreprise dirigée par Sundar Pichai affirme qu’ils se sont servis de ce botnet pour des vols de données et d’identifiants de divers comptes Google. Glupteba servirait aussi à « extraire des cryptomonnaies sur des hôtes infectés et configurer des proxys pour canaliser le trafic Internet d'autres personnes via des machines et des routeurs infectés ».

Exemple de site de téléchargement de logiciels crackés distribuant Glupteba

Glupteba se diffusait de plusieurs façons, comme en se faisant passer pour un logiciel cracké et téléchargeable gratuitement. Image : Google.

Les géants américains « dans une position unique » pour protéger les utilisateurs

Glupteba, qui se protège grâce à la technologie de blockchain, n’est pas à prendre à la légère. Dans sa plainte, l’entreprise de Mountain View met l’accent sur la « sophistication technique » du botnet, qui le distingue des autres. C’est-à-dire qu’il est programmé pour trouver un nouveau serveur s’il est détecté, lui permettant de continuer de fonctionner. Les botnets classiques ont recours à un serveur prédéterminé, et ne peuvent pas en changer.

Pour le moment, 1 million d’appareils sous Windows dans le monde ont été infectés. Glupteba est suivi par Google depuis 2020, et s’agrandit très rapidement, avec plusieurs milliers de machines en plus par jour, ce qui le rend de plus en plus dangereux. « À tout moment, la puissance du botnet Glupteba pourrait être utilisée dans une puissante attaque de ransomware ou une attaque par déni de service distribué », est-il expliqué dans la plainte.

La taille de ce réseau est conséquente, ce qui permettrait aux cybercriminels de lancer des attaques de rançongiciels à grande échelle. « Nos recherches et notre compréhension des opérations de ce botnet nous placent dans une position unique pour le perturber et protéger les internautes », estiment Royal Hansen et Halimah DeLaine Prado.

Les rançongiciels et botnets se multiplient ces dernières années - tout comme leurs victimes - jusqu’à devenir de véritables fléaux. La décision de Google, la première du genre, arrive peu de temps après que Microsoft a affirmé avoir pris le contrôle de plusieurs sites web malveillants. Tout cela confirme l’importance croissante des géants américains, qui sont en première ligne, dans la lutte contre les attaques informatiques.