Le Ministère de la Justice a annoncé aujourd’hui un vaste effort pour perturber et démanteler le botnet Kelihos – un réseau mondial de dizaines de milliers d’ordinateurs infectés sous le contrôle d’un cybercriminel qui a été utilisé pour faciliter des activités malveillantes, notamment la récolte des identifiants de connexion, la distribution de centaines de millions d’e-mails de spam et l’installation de ransomwares et d’autres logiciels malveillants.
Procureur général adjoint par intérim Kenneth A. Blanco de la Division criminelle du Département de la Justice, le Procureur américain par intérim Bryan Schroder pour le District d’Alaska, le Directeur adjoint Scott Smith pour la Division Cyber du FBI et l’Agent spécial du FBI en charge Marlin Ritzman de la AnchorageDivision ont fait l’annonce.
» L’opération annoncée aujourd’hui visait un système international en cours qui distribuait des centaines de millions d’e-mails frauduleux par an, interceptait les informations d’identification des comptes en ligne et financiers appartenant à des milliers d’Américains et diffusait des ransomwares sur nos réseaux. La capacité des réseaux de zombies comme Kelihos à être rapidement armés pour des types de dommages vastes et variés est une menace dangereuse et profonde pour tous les Américains, qui est au cœur de la façon dont nous communiquons, réseautons, gagnons notre vie et vivons notre vie quotidienne « , a déclaré le procureur général adjoint par intérim Blanco. » Notre succès à perturber le botnet Kelihos est le résultat d’une coopération étroite entre les experts du secteur privé et les forces de l’ordre, et de l’utilisation de tactiques juridiques et techniques innovantes. Le ministère de la Justice est déterminé à lutter contre la cybercriminalité, quelle que soit la taille ou la sophistication du système, et à punir ceux qui se livrent à de tels crimes. »
« La cybercriminalité est un problème mondial, mais qui infecte ses victimes directement à travers les ordinateurs et les appareils électroniques personnels que nous utilisons tous les jours », a déclaré le procureur américain par intérim Bryan Schroder pour le district d’Alaska. « La protection du peuple américain contre une telle menace mondiale nécessite une réponse de grande envergure, et le démantèlement du botnet Kelihos était une telle opération. Nous sommes chanceux d’avoir des agents talentueux du FBI et des procureurs fédéraux dotés des compétences nécessaires pour aider à protéger les Américains de cette cybercriminalité omniprésente. »
« Le 8 avril 2017, nous avons commencé la tâche extraordinaire de bloquer les domaines malveillants associés au botnet Khelios pour interdire d’autres infections », a déclaré l’agent spécial du FBI en charge Ritzman. « Cette affaire démontre l’engagement du FBI à trouver et à éradiquer les cybermenaces, où qu’elles se trouvent dans le monde. »
Les logiciels malveillants Kelihos ciblaient les ordinateurs exécutant le système d’exploitation Microsoft Windows. Les ordinateurs infectés faisaient partie d’un réseau d’ordinateurs compromis connu sous le nom de botnet et étaient contrôlés à distance via un système de commande et de contrôle décentralisé. Selon la plainte civile, Peter Yuryevich Levashov aurait exploité le botnet Kelihos depuis environ 2010. Le malware Kelihos a récolté les informations d’identification des utilisateurs en recherchant des noms d’utilisateur et des mots de passe sur les ordinateurs infectés et en interceptant le trafic réseau. Levashov aurait utilisé les informations obtenues lors de cette opération de collecte de justificatifs pour poursuivre son opération de spam illégale qu’il avait annoncée sur divers forums criminels en ligne. Le botnet Kelihos a généré et distribué d’énormes volumes d’e-mails de spam non sollicités faisant la publicité de médicaments contrefaits, faisant une promotion trompeuse des stocks afin d’augmenter frauduleusement leur prix (stratagèmes de fraude aux stocks dits « à la pompe et au vidage »), d’escroqueries au travail à domicile et d’autres fraudes. Kelihos était également responsable de l’installation directe de logiciels malveillants supplémentaires sur les ordinateurs des victimes, y compris les ransomwares et les logiciels malveillants qui interceptent les mots de passe des comptes bancaires des utilisateurs.
Comme pour les autres réseaux de zombies, Kelihos est conçu pour fonctionner automatiquement et sans être détecté sur les ordinateurs des victimes, le code malveillant envoyant secrètement des demandes d’instructions à l’opérateur du réseau de zombies. Afin de libérer les ordinateurs des victimes du botnet, les États-Unis ont obtenu des ordonnances des tribunaux civils et pénaux du district d’Alaska. Ces ordres autorisaient des mesures de neutralisation du botnet Kelihos en (1) établissant des serveurs de substitution qui reçoivent les demandes d’instructions automatisées afin que les ordinateurs infectés ne communiquent plus avec l’opérateur criminel et (2) bloquant toute commande envoyée par l’opérateur criminel tentant de reprendre le contrôle des ordinateurs infectés.
En demandant l’autorisation de perturber et de démanteler le botnet Kelihos, les forces de l’ordre ont obtenu un mandat conformément aux modifications récentes de l’article 41 du Règlement fédéral de procédure pénale. Une copie de ce mandat ainsi que les autres ordonnances du tribunal sont produites ci-dessous. Le mandat obtenu par le gouvernement autorise les forces de l’ordre à rediriger les ordinateurs infectés par Kelihos vers un serveur de remplacement et à enregistrer les adresses de protocole Internet de ces ordinateurs lorsqu’ils se connectent au serveur. Cela permettra au gouvernement de fournir les adresses IP des victimes de Kelihos à ceux qui peuvent aider à supprimer les logiciels malveillants Kelihos, y compris les fournisseurs de services Internet.
Les efforts visant à perturber et à démanteler le botnet Kelihos ont été menés par le Bureau d’Anchorage et le Bureau de New Haven du FBI; Les avocats principaux Ethan Arenson et Harold Chun, et l’avocat de première instance Frank Lin de la Section de la Criminalité Informatique et de la Propriété Intellectuelle; et les avocats américains adjoints Yvonne Lamoureux et Adam Alexander du District d’Alaska. Une assistance critique a également été fournie par des partenaires étrangers, et une assistance technique inestimable a été fournie par Crowd Strike et la Shadow server Foundation pour exécuter cette opération.
Les détails contenus dans la plainte civile et les plaidoiries connexes ne sont que des accusations, et le défendeur est présumé innocent à moins et jusqu’à ce que sa culpabilité soit prouvée.
Le gouvernement a et continuera de partager des échantillons du malware Kelihos avec la communauté de la sécurité Internet afin que les fournisseurs d’antivirus puissent mettre à jour leurs programmes pour détecter et supprimer Kelihos. Un certain nombre de programmes antivirus gratuits et payants sont déjà capables de détecter et de supprimer Kelihos, y compris le scanner de sécurité Microsoft, un produit gratuit.
