Le réseau Avalanche, décrit comme la plus vaste infrastructure de contrôle de malwares, n’est désormais plus. C’est le résultat d’une opération internationale dont les préparatifs ont duré quatre ans. Cinq individus ont été arrêtés, de nombreux serveurs ont été saisis ou désactivés, et certains chiffres donnent la mesure de cet immense botnet.

Le réseau Avalanche – on ne sait pas vraiment d’où vient ce nom – existe depuis 2009. Il s’agit d’une plateforme complète de gestion des malwares, à travers des serveurs de commande et de contrôle (C&C) - un botnet. Il est lié à de nombreuses familles de logiciels malveillants comme Bolek, Citadel, CoreBot, Marcher, Nymain, Ranbuys, TeslaCrypt, Tiny Banker UrlZone ou encore Vawtrak. La liste complète est donnée par l'US-CERT.

Durant les premières années, le réseau a grandi, au point de culminer à environ un demi-million d’ordinateurs infectés. Avalanche était devenu un réseau de distribution de malwares, de spam et autres tentatives de phishing. Au plus fort de son activité, un million d’emails accompagnés de pièces jointes malveillantes étaient ainsi envoyés chaque semaine.

Des machines infectées dans plus de 180 pays

Ce n’est qu’en 2012 que l’affaire prend un nouveau tournant. Comme l’indique le communiqué d’Eurojust (pôle européen de la justice), l’Allemagne s’est penchée cette année-là sur la recrudescence des machines attaquées par un ransomware particulier. Plusieurs millions d’ordinateurs avaient ainsi été bloqués, et l’enquête est remontée jusqu’aux serveurs C&C d’Avalanche.

Une large coopération s’est alors mise en place entre les forces de l’ordre allemandes et anglaises, Europol, Eurojust, le FBI et le bureau du procureur de Pennsylvanie. Cette entente a donné lieu à une enquête qui a duré quatre ans et qui a abouti récemment à une opération de grande envergure. Elle s’est tenue le 30 novembre et a permis de mettre fin au réseau Avalanche.

Cinq personnes ont été arrêtées au terme d’une investigation qui a réclamé la participation d’enquêteurs et de procureurs dans plus de 30 pays. Elle a permis de mettre en évidence des foyers d’infection dans plus de 180 pays. 37 lieux ont été fouillés et 39 serveurs ont été saisis. 221 autres serveurs ont été mis hors ligne via l’envoi de notifications d’abus aux hébergeurs concernés.

Si l'enquête a été particulièrement longue, c'est également parce qu'Avalanche était organisé selon un modèle dit de « double flux rapide » (double fast flux). Avec une telle configuration, l'emplacement du nom de domaine et le serveur de nom (DNS) peuvent changer très rapidement.

Comme l'explique Eurojust, il s'agit d'une technique prisée des botnets, car elle permet une forte résilience face aux techniques d'investigation. Il suffit de changer d'hébergeur ou de registrar pour changer de juridiction. Multiplier ces changements, par exemple chaque jour, permet de rendre le réseau difficile à tracer, surtout pour les forces de l'ordre qui doivent se coordonner avec celles d'autres pays... Ce qui peut prendre habituellement des mois.

Plus de 830 000 noms de domaine mis hors service

Dans son communiqué, Eurojust indique que c’est la plus grande utilisation jamais enregistrée de « sinkholing » (littéralement entonnoir) contre une infrastructure de contrôle des malwares. Cette technique consiste à rediriger le trafic depuis les machines infectées vers des serveurs contrôlés par les forces de l’ordre. En tout, plus de 830 000 domaines ont été saisis, redirigés ou complétement bloqués. Pour mener à bien cette opération, un poste spécial de commandement avait été installé à la Haye, où Europol a son siège.

Durant l’ensemble de l’enquête, les deux instances européennes ont d’ailleurs servi de points de liaison entre toutes les parties. Europol a notamment épaulé les forces de l’ordre allemandes en aidant à l’identification des suspects et en facilitant le transfert des informations entre les agences impliquées. Eurojust, de son côté, a joué le rôle d’agent lubrifiant en accordant les inévitables différences juridiques entre les pays qui auraient pu enrayer la vaste machine.

L'impact financier d'Avalanche est difficile à estimer

Au-delà d’une amélioration notable de la sécurité du Net, la fin d’Avalanche est également celle des retombées financières de tous les malwares impliqués. En Allemagne uniquement, les attaques contre les systèmes bancaires en ligne ont causé plus de 6 millions d’euros de dégâts. Cependant, l’impact global, chiffré à plusieurs centaines de millions d’euros dans le monde, est difficile à chiffrer avec précision tant les malwares impliqués sont nombreux.

Comme le révèle en outre Europol, les malwares étaient accompagnés d'un système élaboré de « mules » dont la mission était de blanchir l'argent récolté frauduleusement. Il était ainsi réinvesti dans l'achat de biens divers, que l'agence ne précise pas.

Un succès incontestable mais...

Le résultat de l’opération est évidemment un immense succès pour les agences impliquées, et plus globalement pour la coopération internationale, l’extinction d’Avalanche prouvant qu’elle est possible en dépit des nombreuses barrières à surmonter.

Et pour l’heure, le temps est aux congratulations. Sir Julian King, commissaire européen à la sécurité de l’Union, a ainsi indiqué : « Avalanche montre que nous ne pouvons être victorieux dans notre combat contre le cybercrime que si nous travaillons ensemble, à travers les divisions et les frontières ». Michèle Coninsx, présidente d’Eurojust ajoute qu’aujourd’hui « marque un moment important dans la lutte contre le cybercrime organisé », tout en prouvant « l’importance pratique et stratégique d’Eurojust dans la promotion de la coopération internationale ».

... la lutte continuera

Il est important de noter que même si l’opération est un franc succès et donnera sans doute à réfléchir à quelques pirates, le phénomène des botnets ne va pas pour autant disparaître. Ce jeu du chat et de la souris est permanent : les techniques évoluent, les enquêtes continueront. Par ailleurs, la disparition d’Avalanche signifie celle de l’infrastructure de contrôle, pas celle des malwares toujours installés sur les machines.

Sur ce point, on signalera en particulier le billet de blog de Shadow Server au sujet de l’opération contre Avalanche, qui se termine par une liste assez exhaustive des outils mis en avant par les éditeurs de solutions de sécurité contre ces familles de logiciels malveillants. On trouve ainsi des utilitaires spécifiques proposés par Avira, BitDefender, ESET, Kaspersky, McAfee ou encore Symantec.

Enfin, précisons que cette opération a été menée en pleine Botconf, une conférence spécialisée en France. Des détails supplémentaires pourraient donc apparaître prochainement.