Discussion :

[Nancy Rey]

Le FBI et ses partenaires démantèlent l'infrastructure de Qakbot dans le cadre d'une opération multinationale de démantèlement cybernétique,
responsable de 30 % des tentatives d'intrusion enregistrées

Trois chargeurs de logiciels malveillants - QBot, SocGholish et Raspberry Robin - sont responsables de 80 % des attaques observées sur les ordinateurs et les réseaux depuis le début de l'année. L'entreprise de de sécurité ReliaQuest a indiqué que les principales nuisances qui devraient être détectées et bloquées par les défenses informatiques sont QBot (également connu sous le nom de QakBot, QuackBot et Pinkslipbot), le chargeur le plus observé entre le 1er janvier et le 31 juillet, responsable de 30 % des tentatives d'intrusion recensées.

Le 29 août 2023, le FBI et le ministère américain de la justice ont annoncé une opération multinationale visant à perturber et à démanteler le logiciel malveillant et le réseau de zombies connus sous le nom de Qakbot.

Cette action, qui s'est déroulée aux États-Unis, en France, en Allemagne, aux Pays-Bas, en Roumanie, en Lettonie et au Royaume-Uni, représente l'une des plus importantes perturbations menées par les États-Unis d'une infrastructure de botnet utilisée par les cybercriminels pour commettre des ransomwares, des fraudes financières et d'autres activités criminelles cybernétiques. « Le FBI a neutralisé cette chaîne d'approvisionnement criminelle de grande envergure, en lui coupant les genoux. Les victimes étaient aussi bien des institutions financières de la côte Est qu'un fournisseur d'infrastructures critiques du Midwest ou un fabricant d'appareils médicaux de la côte Ouest », a déclaré Christopher Wray, directeur du FBI.

Fonctionnement du logiciel malveillant

Le logiciel malveillant Qakbot a infecté les ordinateurs des victimes principalement par le biais de courriels de spam contenant des pièces jointes ou des liens malveillants.

Une fois que l'utilisateur a téléchargé ou cliqué sur le contenu, Qakbot transmet d'autres logiciels malveillants, notamment des rançongiciels, à son ordinateur. L'ordinateur fait également partie d'un botnet (réseau d'ordinateurs compromis) et peut être contrôlé à distance par les utilisateurs du botnet. Pendant tout ce temps, les victimes de Qakbot ignorent généralement que leur ordinateur a été infecté.

Depuis sa création en 2008, le logiciel malveillant Qakbot a été utilisé dans des attaques par ransomware et d'autres cybercrimes qui ont causé des centaines de millions de dollars de pertes à des particuliers et à des entreprises aux États-Unis et à l'étranger. « Ce réseau de zombies a fourni à des cybercriminels comme ceux-ci une infrastructure de commande et de contrôle composée de centaines de milliers d'ordinateurs utilisés pour mener des attaques contre des particuliers et des entreprises dans le monde entier », a déclaré Wray.

Perturber le canard

Dans le cadre de cette opération, le FBI a obtenu un accès légal à l'infrastructure de Qakbot et a identifié plus de 700 000 ordinateurs infectés dans le monde, dont plus de 200 000 aux États-Unis.

Pour perturber le réseau de zombies, le FBI a redirigé le trafic de Qakbot vers des serveurs contrôlés par le Bureau qui ont demandé aux ordinateurs infectés de télécharger un fichier de désinstallation. Ce fichier de désinstallation, créé pour supprimer le logiciel malveillant Qakbot, a permis de détacher les ordinateurs infectés du réseau de zombies et d'empêcher l'installation de tout autre logiciel malveillant.

« Tout cela a été rendu possible grâce au travail dévoué du FBI de Los Angeles, de notre division cybernétique au siège du FBI et de nos partenaires, ici et à l'étranger. La cybermenace à laquelle notre pays est confronté devient chaque jour plus dangereuse et plus complexe. Mais notre succès prouve que notre propre réseau et nos propres capacités sont plus puissants », a déclaré Wray.

Source : FBI

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

Un document déclassifié révèle que le FBI a abusé de la loi sur l'espionnage étranger 280 000 fois en un an, pour espionner les communications privées des Américains sous des prétextes fallacieux

L'outil de surveillance le plus controversé du FBI est menacé, l'examen de l'accès du FBI aux renseignements étrangers révèle une mauvaise utilisation de la technologie de surveillance

Le FBI vient d'admettre qu'il achetait des données de localisation des Américains, une pratique controversée et jugée profondément problématique par les groupes de défense de la vie privée

La Chine compterait 50 pirates informatiques pour chaque cyber-agent du FBI, le directeur du FBI dénonce la menace cybernétique de la Chine et demande plus de budget

[Mathis Lucas]

Un tribunal fédéral a autorisé le FBI à installer à distance des logiciels sur les ordinateurs des particuliers prétendument pour lutter contre les botnets
une mesure fortement controversée

La publication d'un mandat obtenu en août par le FBI a révélé comment l'agence fédérale américaine a infiltré des centaines de milliers d'ordinateurs dans le monde prétendument pour démanteler l'infrastructure du réseau de maliciels Qakbot (aussi appelé Qbot, ou Pinkslipbot). Grâce à ce mandat, le FBI est parvenu à pénétrer plus de 700 000 ordinateurs dans le monde pour éliminer de présumés programmes malveillants installés par Qakbot. Les victimes n'ont pas été informées que leurs appareils ont été réparés ou qu'ils ont été compromis. Ce geste suscite la controverse et pose la question de savoir si le démantèlement d'un réseau de botnets justifie cette forme d'intrusion.

Il y a environ deux semaines, le FBI a annoncé avoir démantelé l'infrastructure de Qakbot dans le cadre d'une opération de portée internationale. Pour mémoire, Qakbot est un élément majeur de l'écosystème de la cybercriminalité et est responsable de milliers d'infections par des maliciels dans le monde entier. Qakbot existe depuis 2008 et a été le précurseur d'un grand nombre d'intrusions informatiques, dont des attaques de ransomwares et la compromission de comptes d'utilisateurs dans le secteur financier. Ces actions ont causé des centaines de millions de dollars de pertes à des particuliers et à des entreprises en France, aux États-Unis et ailleurs.

Cependant, dans son annonce triomphale fin août, ce que le FBI a oublié de mentionner, c'est la manière dont lui et ses partenaires (France, Allemagne, Pays-Bas, Royaume-Uni, Roumanie et Lettonie) sont parvenus à perturber les activités illégales de Qakbot. En effet, la publication du mandat qui a régi les actions du FBI a révélé qu'un tribunal fédéral américain a autorisé l'agence à installer à distance un logiciel sur les ordinateurs des particuliers supposément infectés par les logiciels malveillants de Qakbot. Par la suite, le FBI a pu effectuer une analyse complète des appareils concernés afin de détecter et de supprimer les logiciels malveillants de Qakbot.

Le FBI a expliqué que quatre jours après avoir obtenu le mandat, l'agence a piraté l'infrastructure informatique centrale de Qakbot et a ensuite disloqué le réseau. Elle explique avoir éliminé discrètement des maliciels de plus de 700 000 ordinateurs dans le monde. « Le FBI a obtenu un accès légal à l'infrastructure de Qakbot et a identifié plus de 700 000 ordinateurs infectés dans le monde, dont plus de 200 000 aux États-Unis. Pour perturber le réseau de botnets, le FBI a redirigé le trafic de Qakbot vers des serveurs contrôlés par le Bureau qui ont demandé aux ordinateurs infectés de télécharger un fichier de désinstallation », indique le compte rendu du FBI.

« Ce fichier de désinstallation, créé pour supprimer le logiciel malveillant de Qakbot, a permis de détacher les ordinateurs infectés du réseau de botnets et d'empêcher l'installation de tout autre logiciel malveillant », ajoute l'agence. Tout cela a été accompli grâce à un mandat de cinq pages qui n'a pas grand-chose à dire sur la cause probable justifiant cette intrusion dans les ordinateurs des présumées victimes de Qakbot. Il autorisait le FBI à fouiller chaque ordinateur auquel il envoyait son logiciel. Mais ce qui n'est pas immédiatement clair à la lecture du mandat délivré par le tribunal, c'est la manière dont le FBI a déterminé quels ordinateurs étaient infectés.

Le mandant semble plutôt avoir autorisé une intrusion dans tous les ordinateurs auxquels le FBI pouvait accéder, les infections étant déterminées à l'issue de la recherche de masse. Le mandat précise que des techniques d'accès à distance peuvent être utilisées. Selon les critiques, il y a fort à parier que le FBI ne savait pas quels ordinateurs étaient infectés lorsqu'il a déployé sa "technique d'accès à distance". Cela signifie qu'il a été autorisé à cibler tout appareil auquel il pouvait accéder, les facteurs de contrôle n'apparaissant que quatre jours après qu'il a déjà effectué sa recherche. Les critiques craignent que ce type de mandat donne lieu à des abus.

Le mandat a été délivré le 21 août 2023 par le tribunal de district des États-Unis pour le district central de Californie et le document indique ce qui suit : « ce mandat autorise la perquisition des supports de stockage électronique identifiés dans l'annexe A et la saisie ou la copie d'informations stockées stockées électroniquement qui constituent des preuves et/ou des instruments de la conspiration de Qakbot et de la fraude informatique […]. Des techniques d'accès à distance peuvent être utilisées ». Selon le mandat, le FBI peut déployer des techniques d'accès à distance pour :

• perquisitionner les supports de stockage électronique identifiés et pour saisir ou copier à partir de ces supports toute information stockée électroniquement, telle que les clés de chiffrement et les listes de serveurs, utilisée par les administrateurs du réseau de botnets Qakbot pour communiquer avec les ordinateurs qui font partie de l'infrastructure du botnet Qakbot ;
• perquisitionner les supports de stockage électronique identifiés dans l'annexe A et saisir ou copier à partir de ces supports toute information stockée électroniquement, telle que les adresses IP et les informations de routage, nécessaire pour déterminer si un dispositif numérique identifié dans l'annexe A continue d'être contrôlé par les administrateurs de Qakbot après la saisie ou la copie des informations stockées électroniquement identifiées dans le paragraphe 1.

Le seul facteur atténuant est le dernier paragraphe du mandat approuvé : « le présent mandat n'autorise pas la saisie de biens matériels. Sous réserve des dispositions de la déclaration sous serment qui l'accompagne et des paragraphes 1 et 2, le présent mandat n'autorise pas la saisie ou la copie du contenu des supports de stockage électroniques identifiés dans l'annexe A, ni la modification de la fonctionnalité des supports de stockage électroniques identifiés dans l'annexe A ». Mais selon les critiques, cette circonstance n'est atténuante que si vous pensez que le FBI ne profitera pas de cette occasion pour chercher d'autres choses qui pourraient l'intéresser.

« Tout ce que cela signifie, c'est que le tribunal fait confiance au FBI pour ne pas abuser de cet accès. Et cela nous oblige tous à opérer selon la même norme douteuse, puisque le FBI a clairement indiqué qu'il n'est pas disposé ni légalement obligé d'informer les utilisateurs d'ordinateurs que leurs ordinateurs aient été compromis par le logiciel du FBI, même brièvement ou utilement. Compte tenu de cette absence de divulgation, il sera pratiquement impossible de contester les preuves d'autres activités criminelles qui auraient pu être obtenues au cours de cette perquisition de masse [au moins 700 000 ordinateurs sont concernés] », a écrit un critique.

Cela signifie également que les utilisateurs ne sont pas en mesure de vérifier le travail du FBI en s'assurant que leurs appareils ne sont pas infectés par un botnet ou par un logiciel malveillant du FBI. Le fait est qu'il existe désormais des mécanismes acceptés par les tribunaux qui permettraient facilement au FBI de s'engager dans des activités plus attentatoires aux droits des personnes - où des victimes de déploiements douteux de logiciels espions découvriraient un jour qu'elles ont été ciblées lors d'activités du FBI ostensiblement destinées à démanteler des botnets - sans trop s'inquiéter du contrôle judiciaire. Selon les critiques, il s'agit d'une pratique illégale.

Il y a de fortes chances que le FBI ait traité cette affaire de façon honnête et décente et qu'il ait rendu un service public utile. Cependant, la controverse grandit sur la toile. Le mandat du tribunal est perçu par de nombreux internautes comme une intrusion flagrante dans leur vie privée. Ils s'indignent du fait que le tribunal et le FBI n'ont pris aucune mesure visant à informer les personnes concernées. Ils craignent qu'à l'avenir, le FBI mette en avant une fausse opération de démantèlement de botnets pour obtenir un accès légal à des millions d'appareils électroniques aux États-Unis et dans le monde. « C'est un dangereux précédent », affirme un critique.

Sources : le ministère français de la Justice, le FBI, le mandat obtenu par le FBI (PDF)

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous du mandat délivré au FBI par la justice américaine ?
Cette opération représente-t-elle une intrusion dans la vie privée des personnes concernées ?
Que pensez-vous du fait que le FBI a choisi de ne pas informer les personnes concernées par l'opération ?
Le démantèlement d'un réseau de botnets justifie-t-elle une telle intrusion dans les ordinateurs des particuliers ?

Voir aussi

Le FBI et ses partenaires démantèlent l'infrastructure de Qakbot dans le cadre d'une opération multinationale de démantèlement cybernétique, responsable de 30 % des tentatives d'intrusion enregistrées

L'outil de surveillance le plus controversé du FBI est menacé, l'examen de l'accès du FBI aux renseignements étrangers révèle une mauvaise utilisation de la technologie de surveillance

Un document déclassifié révèle que le FBI a abusé de la loi sur l'espionnage étranger 280 000 fois en un an pour espionner les communications privées des Américains sous des prétextes fallacieux

Le FBI vient d'admettre qu'il achetait des données de localisation des Américains, une pratique controversée et jugée profondément problématique par les groupes de défense de la vie privée