Retadup : La Gendarmerie Nationale Française met fin aux agissements d’un groupe de pirates du Moyen Orient

Les Gendarmes du C3N mettent fin à une infection malveillante qui agissait en sourdine. Plus de 900 000 machines infectées par Retadup désinfectées par les militaires Français.

Belle réussite pour la Gendarmerie Nationale Française et son centre de lutte contre les criminalités numériques (C3N). Après une alerte de l’éditeur d’antivirus Avast de l’évolution d’un code malveillant détecté dans des dizaines de milliers de machines, le C3N a pris les choses en main. L’action vient de se conclure par la désinfection, par le C3N, de 960 000 machines prises en otage par le code Retadup.

Le groupe de pirate, basé au Moyen-Orient, infiltrait les ordinateurs. Mission : cyber surveillance, diffusion de contenus malveillants et DDoS.

Retadup en mode sourdine

Les Gendarmes ont été saisis de l’affaire après la découverte du C&C des pirates. Pour faire simple, il s’agit du centre de contrôle pirate qui permet de prendre en main les machines infectées de par le monde. Le code malveillant installé dans les ordinateurs piratés servait aussi à lancer des Dénis Distribués de Service (DDoS). Imaginez 960 000 ordinateurs venir vous demander une connexion en une seconde. Votre serveur ne va pas aimer l’humour.

Selon les informations de ZATAZ, ce C&C était installé chez l’hébergeur Online.

Une fois le C&C dans les mains des cyber gendarmes, les connections entre le serveur pirate et les machines infectées étaient analysées par les militaires Français. Ces derniers ont ainsi pu désinfecter les ordinateurs transformés en zombies par les pirates.

Le code Retadup est connu pour être le « couteau » Suisse de pirates Palestiniens. Ils ont, par exemple en 2017, attaqué plusieurs Hôpitaux Israéliens afin d’y voler des données personnelles. Des pirates qui utilisent, par exemple, de fausses pages d’actualités pour piéger leurs victimes : newsofpalestine*com …

Keylogger et compagnie

Retadup permet de télécharger de fichiers; Keylogger (enregistreur de frappe clavier); captures écrans; extraction des mots de passe des navigateurs Mozilla, Firefox, Opera et Google Chrome; affichage d’un message dans une boîte de dialogue. Bref, les anciens qui se souviennent du cheval de Troie Back Orifice reconnaîtrons les actions de Retadup. Plus récent, Retadup semble être l’enfant d’un autre logiciel pirate :  ROW MANTI.

La « force » de ce code malveillant : Il contient une liste d’antivirus à détruire en cas de découverte sur la machine infectée. Il s’auto-détruit si un antivirus, une sandbox, une machine virtuelle sont présents dans la machine. Il vérifie également la présence de certains fichiers LNK liés au paiement en ligne et aux envois de fonds.

Un millier d’ordinateurs Français étaient concernés par l’infiltration de Retadup.

Ola Amigo

En cours d’analyse, l’équipe d’Avast a identifié une faille de conception dans le protocole C&C, permettant de supprimer le malware dans les ordinateurs infectés en reprenant la main sur le serveur de commande et contrôle.

L’infrastructure C&C étant en grande partie basée en France, Avast a contacté fin mars 2019 la cellule C3N de la Gendarmerie Nationale afin de partager ses recherches.

Le 2 juillet 2019, la cellule française parvenait à remplacer le serveur C&C par un serveur de désinfection, avec pour effet d’entraîner l’autodestruction des instances Retadup connectées.

Dès la toute première seconde d’activité, plusieurs milliers de bots se sont connectés afin de récupérer les commandes auprès du serveur de substitution, qui a pu entamer son processus de désinfection en profitant de la faille découverte dans le protocole. Il a ainsi été possible de mettre un terme à cette attaque et de protéger tous les utilisateurs – pas uniquement les clients d’Avast –, sans aucune action de leur part.

Certains éléments de l’infrastructure C&C étaient également basés aux Etats-Unis. La Gendarmerie Nationale a donc alerté le FBI qui est parvenu à démanteler les éléments concernés et, le 8 juillet 2019, les auteurs du malware n’avaient plus aucun contrôle sur les bots.

Le serveur C&C étant initialement chargé de répartir les opérations de minage auprès des bots, après le remplacement du serveur incriminé, ces derniers n’ont plus reçu aucun nouvel ordre à exécuter. Ils n’étaient donc plus en mesure de s’approprier la puissance de calcul des ordinateurs de leurs victimes, et les auteurs du malware se sont retrouvés dans l’incapacité de tirer quelque gain financier que ce soit à partir d’opérations de minage.

Liste des 15 principaux pays où Retadup a été neutralisé, avec nombre de PC concernés (entre le 2 juillet et le 19 août 2019)

  1. Pérou : 322 340
  2. Venezuela : 130 469
  3. Bolivie : 83 858
  4. Equateur : 64 466
  5. Mexique : 57 527
  6. Colombie :  27 646
  7. Argentine : 23 671
  8. Cuba : 14 785
  9. Guatemala : 12 940
  10. Israël : 11 337
  11. Ouzbékistan : 8 944
  12. Etats-Unis : 8 349
  13. Brésil : 7 324
  14. Russie : 6 520
  15. Madagascar : 5 545
  1. dryss Reply

    Très belle opération menée par nos gendarmes.
    J’ai tout de même une petite interrogation quant à sa légalité.
    En effet, je ne comprends pas comment la Gendarmerie a pu s’autoriser le droit de ‘pénétrer’ dans près d’1 millions de machines,réparties sur la planète et qui par définition ne lui appartiennent pas.
    Article 323-1 al. 1er du code pénal défini l’intrusion comme le « fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données. »
    De plus, comment être certain pour les victimes qu’aucun autre logiciel n’a été implanté lors de cette « désinfection » ?
    Que l’on soit bien d’accord, je soutiens la gendarmerie nationale ainsi que tous les acteurs (étatiques ou non) qui se battent tous les jours pour éradiquer les cybercriminels.

  2. krogoth21 Reply

    Réponse tardive à dryss.

    La gendarmerie ne s’est introduite sur aucun ordinateur, elle a remplacé le serveur qui répondait aux requêtes d’instructions des ordinateurs infectés.
    Ainsi, lorsque qu’un ordinateur infecté demandait une instruction au serveur C&C, c’est le serveur de la gendarmerie qui leur répondait quoi faire. En l’occurrence, l’instruction renvoyée au code malicieux était : autodétruisez-vous.

    Mais à aucun moment la gendarmerie n’a envoyé de code ou de fichier sur des ordinateurs, elle a juste répondu à des demandes d’instructions.

Poster un commentaire