Généralement, les botnets présentent des architectures relativement similaires autour de 3 composants principaux :
- un composant de réplication : le rôle de celui-ci est d'assurer la plus grande et la meilleure réplication du vers suivant les objectifs du concepteur. Clés USB, mails...peuvent être des intermédiaires efficaces en la matière. Il est automatisé.
- un composant de prise de contrôle : souvent composé de l'exploitation d'une faille, connue ou non, ce composant est également automatisé. Son objectif est d'acquérir un niveau de contrôle élevé sur la machine afin de pouvoir initier le composant de réplication, se maintenir dans la machine mais également de mettre en place l'ensemble des fonctions qui pourront être utilisées ou déclenchées par la suite
- un composant de direction et de gestion : ce composant est également appelé "Control & Command" ou "C&C&". Ce composant n'a pas vocation à être automatique car il est utilisé par le concepteur du ver pour effectuer toutes les opérations : mise à jour des composants, exploitation des machines infectées (spam, DDoS...)...
J'imagine que les lecteurs déjà familiers avec ces notions auront tiqué devant les simplifications abusives mais j'espère que les autres auront suivi.
La littérature trop simpliste de la cybersécurité alarmiste attribue fréquemment la paternité et la responsabilité de ces botnets à nos amis chinois ou russes. Une analyse simpliste des IP révélant en effet de nombreuses adresses attribuées à ces zones.
Cependant, une analyse récente de Damballa montre une répartition très intéressante des serveurs de contrôles :
Vos esprits aiguisés auront remarqué que les 4 premiers pays hébergeant le plus de ce type de serveurs sont : UK, USA, Allemagne et France...Ces statistiques très intéressantes permettent de formuler quelques hypothèses :
=> la cybersécurité alarmiste n'est pas très maligne : facile mais ça fait du bien
=> le niveau de compétence en sécurité informatique/hacking reste très élevé dans les zones décrites. Il suffit pour cela de voir les niveaux atteints lors des conférences spécialisées. Si les "White Hat" (oups..je simplifie encore..désolé) sont si bons, alors les "Black Hat" doivent l'être également...
=> A contrario, il est un fait avéré que le niveau de sécurité est très bas en Inde mais également en Chine (cf. le taux de pénétration de Stuxnet). Le manque de moyens couplé au peu d'intérêt direct pour la sécurité a permis le développement de nombreux groupes cybercriminels qui profitent également du très fort taux de pénétration de l'informatique dans ces pays notamment en Inde et Russie mais également avec une très forte croissance en Chine.
=> il reste également possible que ces C&C soient réellement créés par des groupes étrangers cités souvent en exemple. Cependant, si j'étais chinois ou russe, l'Inde serait plus tentant que les pays européens qui disposent quand même d'une culture en sécurité plus élevée.
Résumons :
Fait 1 : les C&C sont aux USA, en France, en Grande-Bretagne et en Allemagne
Fait 2 : ces pays comportent de très bons éléments visibles en sécurité informatique et donc, très certainement en piratage.
Fait 3 : les pays comme la Chine et l'Inde sont des proies tentantes.
Conclusion : nous sommes sans doute plus que responsables dans la création et la dissémination des botnets.
Ces quelques faits, éléments d'analyses et hypothèses sont bien évidemment contestables. Ils éclairent cependant d'une lumière nouvelle le monde de botnet et de la cybercriminalité et contribuent à nous délivrer des fantasmes simplistes chinois ou russes.
Source :
http://blog.damballa.com/?p=897
