chalabala - Fotolia
Qakbot : un coup considérable porté à ce composant majeur de l’arsenal cybercriminel
En toute fin de semaine dernière, les autorités de l’Allemagne, des États-Unis, de la France, de la Lituanie, des Pays-Bas, de la Roumanie, et du Royaume-Uni ont frappé très fort ce botnet utilisé dans de nombreuses cyberattaques avec ransomware.
Team Cymru compte parmi les spécialistes du renseignement sur les menaces qui suivent de près l’arsenal des cybercriminels, dont le botnet Qakbot. Et voilà qu’à partir de 20h30, ce vendredi 25 août, le nombre de détections commence à chuter inexorablement. Autrement dit : de moins en moins d’ordinateurs connectés à Internet et enrôlés dans le botnet, à l’insu de leur propriétaire, répondent aux requêtes des centres de commande et de contrôle.
Du côté de C2IntelFeedsBot, la situation est comparable : les derniers serveurs de commande et de contrôle (C2) suspectés de Qakbot ont été trouvés à partir des données du service Censys collectées le 25 août.
L’explication attendue sera rendue publique ce mardi 29 août au soir : dans la nuit du 25 au 26 août, les autorités de l’Allemagne, des États-Unis, de la France, de la Lituanie, des Pays-Bas, de la Roumanie, et du Royaume-Uni ont lancé une vaste offensive contre Qakbot.
« La section de lutte contre la cybercriminalité de la Juridiction Nationale de Lutte contre la Criminalité Organisée (JUNALCO) du parquet de Paris a supervisé la partie française », précise le tribunal judiciaire de Paris dans un communiqué publié sur Cybermalveillance.gouv.fr.
Empoisonner le botnet
Que s’est-il passé ? Tout commence par l’intervention du FBI, qui a réussi à « prendre le contrôle de Qakbot vendredi soir », expliquent les forces de l’ordre néerlandaises simplement. « Le trafic de Qakbot a ensuite été redirigé vers des serveurs gérés par le FBI ». De là, « sur les systèmes informatiques infectés, le logiciel malveillant Qakbot a ensuite été supprimé par une mise à jour ».
Selon le tribunal judiciaire de Paris, « plus de 700 000 machines dans le monde, dont 26 000 en France, ont à un moment ou un autre été infectées », entre septembre 2022 et le 15 juin 2023. Sur cette période, plus de 200 000 machines ont été compromises outre-Atlantique.
L’opération a permis la saisie de 8,6 millions de dollars en cryptodevises. Selon la justice américaine, « entre octobre 2021 et avril 2023, les administrateurs de Qakbot ont reçu des versements correspondant à approximativement 58 millions de dollars de rançons payées par des victimes ».
Car Qakbot a été longuement « utilisé comme moyen de primo-infection par de nombreux groupes de ransomware […] notamment Conti, ProLock, Egregor, REvil, MegaCortex et Black Basta ». Les traces de compromission par Qakbot (aussi appelé Qbot) ont effectivement été observées dans de nombreux cas. Accessoirement, en France, « 4 postes infectés par le Trojan Qakbot (Qbot) ou de sa variante
Pikabot » ont été rapportés au CERT Renater au cours de la semaine du 18 au 24 août. Le CERT Santé avait quant à lui fait état d'un cas d'infection au mois de juin.
Une architecture en couches
Dans le cadre de l’opération conduite le week-end dernier, dite « chasse au canard », 22 serveurs ont été saisis aux Pays-Bas, ainsi que 6 en France et 8 en Allemagne.
Tout est parti de l’identification de l’infrastructure de Qakbot, car le maliciel contient une liste d’une à deux dizaines de serveurs de rang 1, « ainsi que les clés pour chiffrer les communications vers ces serveurs ». Il s’agit en fait de machines d’internautes compromises par les cybercriminels.
Les machines de rang 1 communiquent avec le cœur de l’infrastructure, les serveurs dits de rang 3, via des intermédiaires : les serveurs dits de rang 2. « À intervalles réguliers, allant d’une à quatre minutes, le logiciel malveillant Qakbot demande aux ordinateurs victimes de tenter de communiquer avec chaque serveur de rang 1 de la liste dans l’ordre », explique le FBI. Après avoir établi la communication, « le logiciel malveillant utilise l’ordinateur de la victime pour envoyer et recevoir des messages au serveur de rang 3 via les serveurs de rang 1 et 2 ».
C’est par les serveurs de rang 3 que les administrateurs de Qakbot – « ou d’autres personnes à qui ils ont vendu l’accès – envoient des instructions » aux machines victimes : « ces instructions peuvent inclure le téléchargement et l’installation sur l’ordinateur de la victime d’une nouvelle version de Qakbot ou d’autres logiciels malveillants, y compris des rançongiciels ».
Ces communications sont chiffrées avec des clés auxquelles le FBI a réussi à avoir accès. Et grâce auxquelles il a été possible de remplacer le module de communication de Qakbot sur les machines de rang 1, avec un nouveau les isolant de l’infrastructure des cybercriminels. SecureWorks a étudié en profondeur l’approche utilisée.
Passer au nettoyage
La « mise à jour » distribuée sur les machines compromises par Qakbot est disponible sur VirusTotal afin de permettre aux entreprises d’en chercher les traces sur leur système d’information.
Le FBI a également fourni à Have I Been Pwned plus de 6,4 millions d’adresses e-mail compromises et détournées par Qakbot. De quoi laisser de vastes opérations de nettoyage. Et ce ne sera pas du luxe : selon Have I Been Pwned, 57 % des adresses fournies par le FBI étaient déjà connues pour être compromises.
La police néerlandaise a quant à elle « sécurisé » plus de 7,5 milliards d’identifiants compromis avec Qakbot et mis en place une interface Web permettant de vérifier les siens.
De son côté, Cybermalveillance.gouv.fr indique comment déposer plainte si l’on a été « informé d’une attaque informatique qui a conduit à l’infection de votre système d’information par le programme malveillant Qakbot ».
En attendant un retour
Qakbot compte parmi les maliciels de primo-infection les plus utilisés. L’opération menée le week-end dernier aura un impact significatif, mais qui ne sera que temporaire. Les spécialistes du renseignement sur les menaces sont d’ailleurs formels : Qakbot n’est pas mort ; il n’est que temporairement affaibli. Un peu comme l’a été Emotet fin janvier 2021. Selon le tribunal judiciaire de Paris, un total de 170 serveurs étaient « à l’origine du bot » Qakbot. Tous n'ont vraisemblablement pas été saisis.
En outre, l’arsenal du groupe référencé TA551 ne se limite pas à QakBot : il faut également compter avec IcedID, aussi appelé BokBot. Ce dernier est également utilisé dans des cyberattaques avec ransomware, notamment Nokoyama.