La police néerlandaise a contribué à démanteler une vaste opération de botnet qui aurait infecté environ 17 millions d’appareils connectés à Internet dans le monde, marquant l’une des plus grandes perturbations de cybercriminalité coordonnées cette année par les forces de l’ordre européennes.
L’opération visait les infrastructures utilisées pour contrôler des réseaux d’appareils compromis, qui auraient été loués à des cybercriminels pour des attaques de déni de service distribué (DDoS), des services de proxy, des campagnes de vol d’identifiants et d’autres formes d’abus en ligne. Les autorités ont indiqué que les systèmes infectés comprenaient des routeurs, webcams, enregistreurs vidéo numériques et autres appareils connectés à Internet vulnérables à la prise de contrôle par des réglages de sécurité faibles ou des logiciels obsolètes.
According to investigators , les opérateurs de botnet ont construit un vaste réseau d’appareils détournés pouvant être contrôlés à distance sans que leurs propriétaires en soient informés. Une fois infectés, les systèmes auraient été utilisés pour dissimuler des activités criminelles, rediriger le trafic malveillant et lancer des attaques contre des organisations à travers le monde.
La Police nationale néerlandaise a travaillé aux côtés de partenaires internationaux dans le cadre de l’opération de démantelage, qui impliquait l’identification des infrastructures de commandement et de contrôle, la saisie des serveurs et la perturbation des canaux de communication utilisés par les opérateurs de botnets. Les responsables ont indiqué que plusieurs systèmes liés à l’opération avaient été mis hors ligne pendant l’action coordonnée.
Les chercheurs estiment que des portions du réseau ont également été utilisées comme service de proxy résidentiel. Dans ces dispositifs, les cybercriminels font passer le trafic Internet via des appareils consommateurs infectés, donnant l’impression que les activités malveillantes proviennent de connexions internet domestiques légitimes plutôt que d’infrastructures criminelles.
Les forces de l’ordre ont déclaré que le botnet était lié à des opérations de cybercriminalité en tant que service, permettant aux clients de payer pour accéder aux appareils infectés et aux capacités d’attaque sans développer leur propre infrastructure de malwares. Des services similaires sont fréquemment utilisés dans les campagnes DDoS, les attaques contre le bourrage d’identifiants, les opérations de fraude et les services d’anonymat pour d’autres groupes de cybercriminels.
Les autorités n’ont pas divulgué l’identité de tous les suspects liés à l’opération. Cependant, les enquêteurs ont confirmé que des preuves avaient été saisies lors de perquisitions liées à des personnes soupçonnées d’être impliquées dans la gestion de parties de l’infrastructure du botnet.
Cette perturbation fait suite à une série d’opérations internationales récentes visant de grands botnets et réseaux proxy exploitant des dispositifs Internet des objets mal sécurisés. Les agences de sécurité se concentrent de plus en plus sur ces réseaux car ils peuvent rester actifs pendant des années tout en abusant silencieusement du matériel grand public à grande échelle.
Les autorités néerlandaises ont indiqué que l’analyse médico-légale des systèmes saisis est en cours et pourrait entraîner d’autres arrestations alors que les enquêteurs poursuivent la recherche des infrastructures et des activités financières liées à l’opération.