Site icon Global News

Glassworm démantelée : la botnet qui cache ses serveurs dans la blockchain et BitTorrent — comment ils se cachaient jusque‑là ?

Global News

Glassworm démantelée : comment une botnet utilisait blockchain, BitTorrent et Google Calendar pour résister

Une opération coordonnée menée par Google, CrowdStrike et The Shadowserver Foundation a mis fin à l’infrastructure de commande et contrôle (C2) de la botnet Glassworm. Active depuis plusieurs mois, cette campagne malveillante a attiré l’attention par son ingéniosité : pour accroître sa résilience, Glassworm combinait canaux traditionnels (VPS) et moyens non conventionnels — blockchain Solana, réseau BitTorrent (DHT) et même titres d’événements Google Calendar. La neutralisation simultanée de ces quatre canaux laisse aujourd’hui les machines compromises « orphelines » et offre une fenêtre d’intervention pour nettoyer les postes infectés.

Une cible privilégiée : la chaîne d’approvisionnement des développeurs

Glassworm n’attaquait pas au hasard. Ses victimes principales étaient des développeurs et des environnements de développement : packages npm modifiés, modules Python infectés, extensions corrompues pour VS Code ou OpenVSX, voire dépôts compromis sur GitHub. En contaminant des composants logiciels largement distribués, les opérateurs de la botnet ont exploité le mécanisme bien connu de la supply‑chain : un petit changement dans une dépendance peut propager le code malveillant aux projets qui l’utilisent.

La chaîne d’infection : du package corrompu au RAT

Le mode opératoire était standard mais efficace. Une fois le développeur — ou son pipeline d’intégration — exécutait la dépendance compromise, la charge malveillante s’installait, récoltait des informations sensibles (identifiants, clés privées, données de session) et déployait un RAT (Remote Access Trojan). Ce RAT permettait ensuite d’ouvrir une porte arrière, d’exfiltrer des crypto‑actifs, des identifiants ou d’utiliser la machine pour d’autres opérations illicites. L’originalité résidait surtout dans la robustesse des canaux de communication mis en place pour piloter la flotte d’ordinateurs.

Article à lire  Renault Trafic E‑Tech : le fourgon 800V qui transforme vos livraisons en cloud — recharge éclair, V2L et fonctions logicielles qui vont tout changer

Quatre canaux C2 pour échapper au démantèlement

Les malfaiteurs ont structuré leur infrastructure de façon à éviter une neutralisation aisée :

  • Des VPS traditionnels, facilement remplaçables mais plus susceptibles d’être repérés et coupés.
  • La blockchain Solana : les opérateurs codaient des adresses IP ou des indicateurs dans le champ « memo » des transactions. La blockchain sert alors de catalogue immuable et distribuable pour transmettre des informations de commande.
  • Les DHT de BitTorrent : Glassworm stockait des données de configuration dans les tables de hachage distribuées, rendant la découverte des serveurs C2 possible via un réseau pair à pair décentralisé.
  • Google Calendar : les auteurs encodaient des informations (adresses IP en Base64, par exemple) dans les titres d’événements, exploitant un service grand public pour un canal clandestin difficile à détecter.

    • L’opération et ses conséquences techniques

    La riposte conjointe a visé ces quatre vecteurs simultanément pour priver la botnet de tout moyen de commande. Google a notamment supprimé ou rendu inopérantes les ressources exploitées via ses services ; CrowdStrike a injecté des « beacons » inoffensifs permettant d’identifier les hôtes compromis et de les marquer comme sûrs ; The Shadowserver Foundation a contribué à cartographier et neutraliser les relais. Sans canal C2 disponible, les postes infectés ne peuvent plus recevoir d’instructions et la botnet perd en fonctionnalité.

    Que doivent faire les entreprises et utilisateurs affectés ?

    Le travail n’est pas pour autant terminé. Les machines infectées restent compromises tant que le RAT n’est pas éliminé et toute trace de la compromission n’est pas effacée. Les recommandations sont claires :

  • Analyser les logs réseau et les traces d’activité à la recherche des indicateurs de compromission laissés par Glassworm.
  • Procéder à une isolation immédiate des endpoints suspects afin d’éviter toute propagation latérale ou exfiltration supplémentaire.
  • Prévoir une procédure de remédiation rigoureuse ; dans de nombreux cas, une réinstallation complète du système (formatage + réinstallation) est recommandée pour garantir l’éradication.
  • Changer toutes les clés privées et mots de passe stockés sur les machines compromises, en supposant qu’ils ont pu être exfiltrés.
    • Article à lire  Error: HTTP 400 - { error: { message:Missing required parameter: 'model'., type:invalid_request_error, param:model, code:missing_required_parameter }}

    Le coût de l’innovation malveillante : blockchain et P2P utilisés contre nous

    Glassworm illustre une nouvelle tendance : des acteurs malveillants détournent des technologies conçues pour la résilience et la décentralisation (blockchain, réseaux P2P) afin d’améliorer la persistance de leurs infrastructures. Cette mutation complique la tâche des défenseurs : il ne suffit plus d’« éteindre » un serveur, il faut repérer les signaux disséminés sur des plateformes publiques ou pair à pair. La neutralisation de Glassworm prouve toutefois qu’une coopération publique‑privée et une action coordonnée peuvent vaincre même des architectures sophistiquées.

    Le rôle des fournisseurs de services et de la communauté

    La réussite de l’opération met en lumière l’importance des partenariats entre grands fournisseurs cloud/plateformes (Google), sociétés de cybersécurité (CrowdStrike) et organisations à but non lucratif spécialisées dans la sécurité (The Shadowserver Foundation). Ces acteurs disposent d’une visibilité croisée et d’outils complémentaires : l’un peut bloquer l’utilisation abusive de ses services, l’autre cartographier la menace et alerter des victimes potentielles.

    Leçons et mesures préventives

  • Renforcer la sécurité des chaînes d’approvisionnement logicielle : signatures, vérifications d’intégrité, scans automatisés et audits réguliers des dépendances.
  • Surveiller les canaux « non traditionnels » : analyser les métadonnées publiques et les artefacts (transaction memos, DHT, calendriers publics) pour détecter d’éventuels usages détournés.
  • Maintenir des équipes de réponse incident prêtes à isoler et nettoyer rapidement les environnements compromis.
  • Accroître la coopération internationale et intersectorielle pour partager indicateurs et riposter à grande échelle.

    • Que surveiller désormais ?

    Les opérations comme celle menée contre Glassworm montrent que les défenses doivent évoluer aussi vite que les tactiques adverses. Les organisations doivent rester vigilantes : la botnet est neutralisée aujourd’hui, mais les techniques employées — détournement de la blockchain, exploitation des DHT, utilisation de services grand public comme canaux C2 — sont désormais connues et faciles à reproduire. La course s’accélère entre cybercriminels cherchant à exploiter de nouvelles surfaces et équipes de sécurité qui doivent développer des réponses coordonnées et rapides.

    Article à lire  Grok visé par l’ICO : l’IA de Musk accusée d’avoir créé des millions de deepfakes intimes — enquête en cours
    Quitter la version mobile