Le Département de la Justice des États-Unis (DOJ) a mené une opération internationale autorisée par la justice qui a perturbé un botnet utilisé pour commettre des cyberattaques, des fraudes à grande échelle, de l’exploitation d’enfants, du harcèlement, des menaces de bombes et des violations d’exportation. YunHe Wang, 35 ans, ressortissant de la République Populaire de Chine et citoyen par investissement de Saint-Kitts-et-Nevis, a été arrêté le 24 mai. Les charges retenues contre lui découlent de son déploiement de logiciels malveillants et de la création et de l’exploitation d’un service de proxy résidentiel connu sous le nom de « 911 S5 ».
Selon l’acte d’accusation rendu public le même jour, de 2014 à juillet 2022, Wang et d’autres auraient créé et diffusé des logiciels malveillants pour compromettre et amasser un réseau de millions d’ordinateurs résidentiels Windows dans le monde. Ces dispositifs étaient associés à plus de 19 millions d’adresses IP uniques, dont 613 841 aux États-Unis. Wang a ensuite généré des millions de dollars en offrant à des cybercriminels l’accès à ces adresses IP infectées moyennant des frais.
Le procureur général Merrick B. Garland a souligné que cette opération, dirigée par le DOJ, avait mobilisé des partenaires d’application de la loi du monde entier pour perturber 911 S5, un botnet qui facilitait les cyber-attaques et de nombreux autres crimes. Cette affaire démontre que la portée de la loi s’étend au-delà des frontières et dans les recoins les plus sombres du dark web, et que le DOJ ne cessera de lutter pour traduire en justice les cybercriminels.
Qu’est-ce qu’un botnet ?
Un botnet, contraction de « robot » et « network » (réseau en anglais), est un réseau de dispositifs informatiques infectés par un malware qui les place sous le contrôle d’un attaquant, souvent appelé un « botmaster ». Ces dispositifs, appelés « bots », peuvent inclure des ordinateurs, des serveurs, ou même des appareils IoT (Internet des Objets) comme des caméras de sécurité ou des thermostats intelligents.
Les botnets sont utilisés par les cybercriminels pour effectuer une variété d’activités malveillantes à grande échelle, incluant :
- Attaques par déni de service distribué (DDoS) : Utilisation des ressources combinées des appareils infectés pour inonder un site ou un service en ligne de requêtes de trafic, le rendant inaccessible aux utilisateurs légitimes.
- Envoi de spam : Distribution massive de courriels indésirables ou malveillants à partir des appareils infectés.
- Vol d’informations : Collecte de données personnelles ou sensibles, comme les identifiants de connexion ou les informations financières.
- Diffusion de malwares : Utilisation des dispositifs infectés pour propager des malwares supplémentaires, infectant d’autres appareils et agrandissant le botnet.
- Cryptojacking : Utilisation des ressources de calcul des appareils infectés pour miner des cryptomonnaies sans le consentement de leurs propriétaires.
Les botnets sont souvent difficiles à détecter et à contrer car ils utilisent des techniques de commande et contrôle avancées, et parce que les appareils infectés peuvent fonctionner normalement, laissant leurs propriétaires ignorer leur présence dans le réseau malveillant. Les efforts pour démanteler les botnets nécessitent généralement une coordination entre plusieurs organisations et juridictions en raison de leur nature souvent internationale.
Les cybercriminels utilisaient ensuite les adresses IP proxifiées achetées auprès de 911 S5 pour masquer leurs véritables adresses IP d’origine et leurs emplacements, et commettre anonymement un large éventail de délits, incluant des crimes financiers, du harcèlement, la transmission de menaces de bombes et de menaces de préjudice, l’exportation illégale de marchandises, et la réception et l’envoi de matériaux d’exploitation d’enfants. Depuis 2014, 911 S5 aurait permis aux cybercriminels de contourner les systèmes de détection de fraudes financières et de voler des milliards de dollars à des institutions financières, des émetteurs de cartes de crédit et des programmes de prêts fédéraux.
L’opération a également entraîné la saisie de 23 domaines et de plus de 70 serveurs constituant l’épine dorsale du service de proxy résidentiel précédent de Wang et de la récente incarnation du service. En saisissant plusieurs domaines liés au 911 S5 historique, ainsi que plusieurs nouveaux domaines et services directement liés à un effort de reconstitution du service, le gouvernement a réussi à mettre fin aux efforts de Wang pour continuer à victimiser des individus à travers son service nouvellement formé, Clourouter.io.
Pour ses crimes allégués, Wang fait face à un maximum de 65 ans de prison s’il est reconnu coupable de tous les chefs d’accusation. Cette opération a été un effort coordonné multi-agences dirigé par des forces de l’ordre aux États-Unis, à Singapour, en Thaïlande et en Allemagne. Des agents et des officiers ont fouillé des résidences, saisi des actifs d’une valeur d’environ 30 millions de dollars et identifié des biens supplémentaires pouvant être confisqués pour une valeur similaire.
Selon les procureurs américains, le malware aurait compromis des ordinateurs dans presque tous les pays du monde, transformant ces machines en proxies par lesquels les criminels masquaient leur identité pour commettre d’innombrables délits. Cela inclurait notamment le vol de milliards de dollars destinés aux secours de la pandémie de Covid-19, des fonds prétendument volés par des acteurs étrangers se faisant passer pour des citoyens américains au chômage.
