À l'intérieur du modèle économique des botnets

Les botnets sont des réseaux obscurs d'ordinateurs contrôlés par des acteurs cachés et liés à tout ce qui est mauvais sur le Web. Ils ont été impliqués dans des attaques par déni de service distribuées, des campagnes de spam, des fraudes au clic et des fraudes bancaires, pour ne citer que quelques-unes des pires formes de cybercriminalité. De toute évidence, quelqu'un, quelque part, fait fortune en organisant ce genre d'activité criminelle.





Mais combien d'argent les botnets génèrent-ils et quel est le modèle commercial qui prend en charge ce type d'activité ?

Aujourd'hui, nous obtenons une sorte de réponse grâce au travail de C.G.J. Putman de l'Université de Twente aux Pays-Bas et quelques collègues. Il n'est pas surprenant que le motif principal de l'utilisation des botnets soit le gain économique, disent-ils alors qu'ils cartographient les coûts et les flux de revenus.

Un botnet est essentiellement un réseau d'ordinateurs, de smartphones ou d'appareils intelligents qui peuvent être contrôlés par un attaquant non autorisé. Le réseau est créé en infectant chaque appareil avec des logiciels malveillants qui communiquent via des protocoles réseau standard avec le contrôleur et les autres appareils. Le contrôleur peut alors manipuler les appareils du botnet de diverses manières néfastes.



Bien entendu, la mise en place d'un tel système entraîne des coûts considérables. Le premier est la recherche et le développement nécessaires pour trouver des failles dans les systèmes d'exploitation, puis pour écrire du code capable de les exploiter.

Il s'agit d'une tâche hautement spécialisée. Putnam et co suggèrent que la planification et l'exécution d'un botnet capable d'attaquer l'infrastructure Internet à l'échelle nationale ou internationale nécessiterait un ensemble important d'experts, y compris des analystes de vulnérabilité, des développeurs d'exploits, des testeurs et des gestionnaires - peut-être plusieurs centaines d'entre eux dans le cas. d'un botnet mis en place pour attaquer les États-Unis. Ce type de système prendrait environ deux ans à planifier et à exécuter.

Une fois que le malware a été développé, il doit être propagé. Fait intéressant, bon nombre des services requis peuvent être achetés facilement en ligne. Par exemple, les maîtres potentiels du botnet peuvent utiliser des services de paiement à l'installation pour configurer le réseau. Ceux-ci peuvent être achetés sur le dark web, moyennant des frais fixes de 2 à 10 cents par appareil pour l'installation du malware.



Ce service s'appuie probablement sur des botnets existants, c'est pourquoi les ordinateurs qui sont infectés par un type de malware sont souvent rapidement inondés par d'autres types.

Certains opérateurs d'hébergement Web proposent également un service à l'épreuve des balles, qui est essentiellement une forme de stockage de données sans poser de questions qui donne aux clients une marge de manœuvre importante sur ce qu'ils font. Ce serait certainement pratique pour les futurs botmasters.

Ensuite, il y a le coût de maintenance du réseau une fois qu'il a été établi. Le malware sera supprimé des appareils à un certain rythme, peut-être parce que le système d'exploitation a été corrigé ou qu'un anti-malware a été publié pour le combattre. Sur les appareils moins sophistiqués tels que les caméras connectées à Internet, le logiciel malveillant peut être supprimé en redémarrant.



Le botmaster doit donc lutter contre cette attrition en réinfectant les machines à un rythme similaire. Cela peut être aussi simple que de vérifier les adresses IP et de réinfecter celles qui ne répondent pas, dans le cas d'appareils simples. Mais cela pourrait être beaucoup plus complexe si le logiciel malveillant nécessite des mises à jour de code lorsque des correctifs sont publiés.

Cela peut coûter cher. Les coûts de réinfection ont été estimés à 0,0935 $ par appareil, selon Putman and co.

Tout cela conduit à une estimation grossière du coût de mise en place d'un botnet à l'échelle nationale ou internationale. Pour un botnet lié à 10 millions d'appareils, Putnam et co citent un coût de l'ordre de 16 millions de dollars. Bien sûr, cela pourrait être beaucoup moins pour les petits réseaux.



Ce type de dépenses semble énorme, mais il est insignifiant par rapport aux récompenses proposées. Putman et co étudient quatre modèles commerciaux différents pour voir combien de revenus un botnet pourrait générer. Il s'agit d'attaques par déni de service distribué, de spam publicitaire, de fraude bancaire et de fraude au clic.

L'équipe affirme que les attaques par déni de service distribuées utilisant un réseau de 30 000 robots peuvent générer environ 26 000 dollars par mois. Le spam publicitaire avec 10 000 bots génère environ 300 000 dollars par mois, et la fraude bancaire avec 30 000 bots peut générer plus de 18 millions de dollars par mois. Mais l'entreprise la plus rentable est la fraude au clic, qui génère plus de 20 millions de dollars de bénéfices par mois.

Le botmaster peut soit entreprendre cette activité directement, soit louer le réseau à d'autres, qui prennent alors la part du lion des bénéfices (et vraisemblablement des risques).

Ce sont des chiffres extraordinaires. Les botnets sont clairement une entreprise extrêmement rentable pour ceux qui réussissent.

Cependant, il existe des risques importants. Le plus évident est peut-être le risque d'être pris et poursuivi. Une grande partie, mais pas la totalité, de l'activité décrite ici est illégale dans de nombreuses régions du monde.

D'autre part, Putman et co font référence à au moins un travail suggérant que les agences gouvernementales sont parmi les clients les plus importants de ces types de réseaux. Il n'est donc pas toujours dans l'intérêt d'un pays de faire tomber les botnets.

Il y a un autre problème. Lorsque les botnets fonctionnent bien, ils rapportent évidemment des sommes importantes. Mais Putman et co disent qu'il y a des suggestions que certains types d'activités coûtent plus que ce qui peut être compensé en revenus. Les attaques par déni de service distribué sont les moins rentables et les coûts de maintenance d'un botnet peuvent parfois dépasser les revenus générés.

Ainsi, les botmasters n'ont pas tout à leur manière. L'exploitation de ce type de réseau de logiciels malveillants ne fait peut-être pas le bonheur, mais elle peut certainement payer le genre de misère que la plupart préféreraient.

Réf : arxiv.org/abs/1804.10848 : Modèle d'affaires d'un botnet

cacher