Le botnet Esthost stoppé par l'opération Ghost Click du FBI
Le FBI a réussi à mettre un terme aux agissements d'un gang estonien accusé d'être derrière une opération de fraude internationale pour un montant de 14 millions de dollars. Cette activité reposait sur un botnet qui a infecté 4 millions d'ordinateurs dans le monde.
6 estoniens ont été arrêtés et une procédure d'extradition est en cours pour qu'ils soient jugés aux Etats-Unis, indique le FBI dans son communiqué de presse sur l'opération Ghost Click. Cette dernière a nécessité deux ans d'investigations et l'aide de sociétés comme Trend Micro pour mettre fin à une cyberfraude qui a généré 14 millions de dollars en prenant le contrôle de 4 millions d'ordinateurs zombies dans 100 pays. Aux Etats-Unis, l'agence fédérale a recensé 500 000 ordinateurs corrompus dont quelques-uns à la NASA.
Les PC et les Mac étaient infectés par le cheval de troie, DNSchanger. Celui-ci permettait de rediriger les utilisateurs vers des sites web où le gang gérer la publicité, via de faux sites liés à Apple par exemple. Ce malware pouvait aussi diffuser de faux anti-virus ou d'empêcher certaines mises à jour des systèmes d'exploitation.
Trend Micro va un peu plus loin sur son blog et explique que ce botnet utilisait la société Rove Digital, maison mère de plusieurs sociétés impliquées, Esthost, Estdomains, Cernel, UkrTelegroup, etc. Rove Digital n'était pas seulement l'hébergeur du trojan, mais disposait de l'infrastructure de serveurs de commandes et contrôle, ainsi que les moyens de monétiser les redirections. Le botnet a d'ailleurs reçu comme nom Esthost par la firme de solution de sécurité. Elle indique que les serveurs criminels ont été éteints pour les remplacer par des serveurs DNS sains.
