Les agences fédérales travaillent ensemble pour démanteler efficacement le botnet qui a compromis plus de 200 000 appareils.
Le ministère de la Justice (DOJ) a récemment annoncé une opération d’application de la loi autorisée par le tribunal qui a réussi à démanteler un botnet géré par des pirates informatiques parrainés par l’État de la République populaire de Chine (RPC). Ce botnet, composé de plus de 200 000 appareils grand public aux États-Unis et dans le monde, avait été compromis par un logiciel malveillant développé par des pirates informatiques travaillant pour Integrity Technology Group, une société basée à Pékin connue dans le secteur privé sous le nom de « Flax Typhoon ». Les appareils infectés par ce logiciel malveillant comprenaient des routeurs pour petites entreprises/bureaux à domicile (SOHO), des caméras IP (Internet Protocol), des enregistreurs vidéo numériques (DVR) et des périphériques de stockage en réseau (NAS). Les appareils compromis ont été manipulés pour créer un botnet, qui a été utilisé pour des activités cybernétiques malveillantes qui se sont déguisées en trafic Internet normal. L’opération autorisée par le tribunal a pris le contrôle de l’infrastructure utilisée par ces pirates et a émis des commandes de désactivation sur les appareils affectés.
Au cours de l’opération, des pirates ont tenté d’interférer avec les efforts du Federal Bureau of Investigation (FBI) en lançant une attaque par déni de service distribué (DDoS) sur l’infrastructure utilisée pour exécuter les ordonnances du tribunal. Malgré cette tentative, le FBI a réussi à désactiver le botnet. Le procureur général (AG) Merrick B. Garland a souligné la gravité de la menace posée par les groupes de piratage soutenus par la RPC et a réaffirmé l’engagement du DOJ à lutter contre cette cybercriminalité, déclarant que cette opération marquait la deuxième fois en 2024 que l’agence démantelait un botnet utilisé par des pirates informatiques de la RPC pour compromettre les appareils grand public.
La procureure générale adjointe Lisa Monaco a souligné l’approche « tous azimuts » du Département pour lutter contre la cybercriminalité. Elle a expliqué que ce botnet, géré par un sous-traitant du gouvernement chinois, a piraté de nombreux appareils privés, permettant à la RPC de les exploiter. Elle a envoyé un message clair aux cybercriminels, déclarant qu’ils ne parviendraient pas à cibler les États-Unis.
Le directeur adjoint du FBI, Paul Abbate, a décrit l’opération comme une démonstration de l’engagement du FBI à protéger les victimes et à démanteler les infrastructures malveillantes, en veillant à ce que les outils des cybercriminels puissent être retournés contre eux. Abbate a souligné que les pouvoirs juridiques uniques du FBI lui permettaient de collaborer avec des partenaires internationaux pour démanteler des activités illégales.
L’agent spécial en charge du bureau local du FBI à San Diego, Stacey Moy, a fait la lumière sur le rôle d’Integrity Technology Group, expliquant que l’entreprise cotée en bourse vendait ouvertement à ses clients la possibilité de contrôler des milliers d’appareils piratés. Le botnet, appelé « Raptor Train » par le groupe de renseignement sur les menaces du secteur privé Black Lotus Labs, a été identifié pour la première fois en juillet 2023. Integrity Technology Group a développé une application en ligne qui permettait à ses clients d’émettre des cybercommandes malveillantes. Cette application, baptisée « KRLab », était un outil public utilisé par le groupe.
Les commandes de désactivation envoyées par le gouvernement ont été testées de manière approfondie et spécifiquement conçues pour éviter de perturber les fonctions légitimes des appareils ou de collecter des contenus sensibles. Le FBI informe les propriétaires américains des appareils concernés par l’intermédiaire de leurs fournisseurs d’accès Internet, qui veilleront à ce que leurs clients soient informés du problème.
Le FBI continue d’enquêter sur les activités d’intrusion informatique d’Integrity Technology Group et de Flax Typhoon, maintenant ainsi son engagement à protéger la cybersécurité mondiale contre les menaces sponsorisées par les États. L’enquête a été menée par le bureau local de San Diego du FBI et la division cybernétique, avec le soutien du bureau du procureur américain pour le district ouest de Pennsylvanie, de la section de cybersécurité nationale du ministère de la Justice et des partenaires internationaux de l’agence.
Sources:
Le FBI ferme un botnet géré par des pirates informatiques soutenus par Pékin qui a piraté plus de 200 000 appareils
Une opération autorisée par le tribunal perturbe un botnet mondial utilisé par des pirates informatiques sponsorisés par l’État de la République populaire de Chine
