3ve : Des dizaines de botnets interrompus par FBI

Posted On 29 Nov 2018

Tag: banque, bot, filoutage, hameçonnage, infiltration, Internet of Things

3ve : Un réseau de fraude publicitaire stoppé. Il aurait généré près de 30 millions de dollars de revenus frauduleux. Trois pirates en attente d’extradition. Les autres en fuite.

The end pour 3ve ! Internet a remporté une grande victoire, après le démantèlement par le FBI, d’une opération de cyber criminalité d’envergure. Les pirates utilisaient des botnets pour manipuler le trafic internet. En mobilisant 1,7 million d’adresses IP, ils avaient pu générer près de 30 millions de dollars en revenus publicitaires frauduleux.

Le réseau de fraude publicitaire, surnommé « 3ve » dans un avis publié par US-CERT, reposait sur deux botnets distincts. Créés par le biais de deux malware, Kovter et Boaxxe. Diffusés par le biais de spams et de téléchargements à la dérobée (drive-by). 3ve utilisait ces botnets pour rediriger le trafic internet vers des publicités malveillantes. Plus d’1,7 million d’adresses IP ont ainsi pu être simultanément manipulées.

Lors du démantèlement, le FBI a passé en revue 89 serveurs et saboté 31 domaines afin de perturber les botnets. Saisis de comptes bancaires. Huit personnes ont été identifiées comme étant impliquées. « 3ve émet un spam d’échec d’envoi de message. Il s’agit d’un vecteur d’attaque courant de nos jours. Les utilisateurs ouvrent une pièce jointe ou cliquent sur un lien et se retrouvent infectés par Kovter, Boaxxe, voire même les deux« , explique Päivi Tynninen, Chercheuse chez F-Secure. « 3ve utilise aussi la publicité malveillante redirigeant les utilisateurs vers de fausses mises à jour logicielles pour les inciter à installer Kovter. Il s’agit d’une tactique d’ingénierie sociale assez populaire. »

Botnet Boaxxe

3ve utilisait le botnet Boaxxe comme proxy pour les requêtes publicitaires frauduleuses envoyées depuis son propre centre de données, situé en Allemagne. Le botnet Kovter, réseau de PC infectés, utilisait un navigateur dissimulé aux utilisateurs, pour rediriger discrètement le trafic vers leurs annonces.

En manipulant le trafic internet, 3ve a convaincu les annonceurs que leurs publicités étaient vues par un nombre incalculable de personnes. Ce type de fraude reste souvent inaperçu mais il n’en est pas moins répandu. En 2016, un rapport de la Fédération mondiale des annonceurs prévoyait une augmentation des recettes publicitaires frauduleuses de 50 à 150 milliards de dollars par an, d’ici 2025.

3ve dans le monde. La France impactée.

« Il se peut que la fraude publicitaire n’apparaisse pas comme un problème urgent. Pourtant, elle coûte beaucoup d’argent aux entreprises et, en définitive, ces coûts se répercutent sur le consommateur« , a déclaré Sean Sullivan, « Ce genre d’opérations de démantèlement est bénéfique aux entreprises, aux annonceurs, mais aussi aux utilisateurs.«

Sinkholing

L’opération du FBI a permis de stopper 3ve. Compte-tenu de la nature persistante des botnets actuels, difficile d’affirmer avec certitude que 3ve soit définitivement hors service. La plupart des botnets actuels reposent sur des fonctionnements en arrière-plan sophistiqués. Ils sont extrêmement résistants aux tentatives de démantèlement. Les PC zombies utilisés pour débuter une reconstitution du réseau. Il est donc essentiel que les internautes inspectent leur PC et suppriment les logiciels malveillants s’ils découvrent une infection.

L’acte d’accusation, devant un tribunal fédéral à Brooklyn ce 27 novembre 2018, comporte 13 plaintes. Il vise d’Aleksandr Zhukov, Boris Timokhin, Mikhail Andreev, Denis Avdeev, Dmitry Novikov, Sergey Ovsyannikov, Aleksandr Isaev et Yevgeniy Timchenko.

Ovsyannikov arrêté au mois d’octobre 2018 en Malaisie ; Joukov, début novembre en Bulgarie, et Timchenko en Estonie. Ils sont dans l’attente de leur extradition.

Les autres accusés sont en fuite. Les mandats judiciaires ont autorisé le FBI à prendre le contrôle de 31 domaines et 89 serveurs informatiques. Ils faisaient tous partie de l’infrastructure permettant à des botnets de générer les publicités numériques frauduleuses. Le FBI redirige le trafic Internet afin de perturber et démanteler ces réseaux de zombies.

A lire, la passionnante analyse de Google.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.