Qakbot : un coup considérable porté à ce composant majeur de l’arsenal cybercriminel

Empoisonner le botnet

Que s’est-il passé ? Tout commence par l’intervention du FBI, qui a réussi à « prendre le contrôle de Qakbot vendredi soir », expliquent les forces de l’ordre néerlandaises simplement. « Le trafic de Qakbot a ensuite été redirigé vers des serveurs gérés par le FBI ». De là, « sur les systèmes informatiques infectés, le logiciel malveillant Qakbot a ensuite été supprimé par une mise à jour ». 

Selon le tribunal judiciaire de Paris, « plus de 700 000 machines dans le monde, dont 26 000 en France, ont à un moment ou un autre été infectées », entre septembre 2022 et le 15 juin 2023. Sur cette période, plus de 200 000 machines ont été compromises outre-Atlantique. 

L’opération a permis la saisie de 8,6 millions de dollars en cryptodevises. Selon la justice américaine, « entre octobre 2021 et avril 2023, les administrateurs de Qakbot ont reçu des versements correspondant à approximativement 58 millions de dollars de rançons payées par des victimes ».

Car Qakbot a été longuement « utilisé comme moyen de primo-infection par de nombreux groupes de ransomware […] notamment Conti, ProLock, Egregor, REvil, MegaCortex et Black Basta ». Les traces de compromission par Qakbot (aussi appelé Qbot) ont effectivement été observées dans de nombreux cas. Accessoirement, en France, « 4 postes infectés par le Trojan Qakbot (Qbot) ou de sa variante
Pikabot » ont été rapportés au CERT Renater au cours de la semaine du 18 au 24 août. Le CERT Santé avait quant à lui fait état d'un cas d'infection au mois de juin.

Une architecture en couches

Dans le cadre de l’opération conduite le week-end dernier, dite « chasse au canard », 22 serveurs ont été saisis aux Pays-Bas, ainsi que 6 en France et 8 en Allemagne. 

Tout est parti de l’identification de l’infrastructure de Qakbot, car le maliciel contient une liste d’une à deux dizaines de serveurs de rang 1, « ainsi que les clés pour chiffrer les communications vers ces serveurs ». Il s’agit en fait de machines d’internautes compromises par les cybercriminels. 

Les machines de rang 1 communiquent avec le cœur de l’infrastructure, les serveurs dits de rang 3, via des intermédiaires : les serveurs dits de rang 2. « À intervalles réguliers, allant d’une à quatre minutes, le logiciel malveillant Qakbot demande aux ordinateurs victimes de tenter de communiquer avec chaque serveur de rang 1 de la liste dans l’ordre », explique le FBI. Après avoir établi la communication, « le logiciel malveillant utilise l’ordinateur de la victime pour envoyer et recevoir des messages au serveur de rang 3 via les serveurs de rang 1 et 2 ».

C’est par les serveurs de rang 3 que les administrateurs de Qakbot – « ou d’autres personnes à qui ils ont vendu l’accès – envoient des instructions » aux machines victimes : « ces instructions peuvent inclure le téléchargement et l’installation sur l’ordinateur de la victime d’une nouvelle version de Qakbot ou d’autres logiciels malveillants, y compris des rançongiciels ».

Ces communications sont chiffrées avec des clés auxquelles le FBI a réussi à avoir accès. Et grâce auxquelles il a été possible de remplacer le module de communication de Qakbot sur les machines de rang 1, avec un nouveau les isolant de l’infrastructure des cybercriminels. SecureWorks a étudié en profondeur l’approche utilisée. 

Passer au nettoyage

La « mise à jour » distribuée sur les machines compromises par Qakbot est disponible sur VirusTotal afin de permettre aux entreprises d’en chercher les traces sur leur système d’information. 

Le FBI a également fourni à Have I Been Pwned plus de 6,4 millions d’adresses e-mail compromises et détournées par Qakbot. De quoi laisser de vastes opérations de nettoyage. Et ce ne sera pas du luxe : selon Have I Been Pwned, 57 % des adresses fournies par le FBI étaient déjà connues pour être compromises. 

La police néerlandaise a quant à elle « sécurisé » plus de 7,5 milliards d’identifiants compromis avec Qakbot et mis en place une interface Web permettant de vérifier les siens.

De son côté, Cybermalveillance.gouv.fr indique comment déposer plainte si l’on a été « informé d’une attaque informatique qui a conduit à l’infection de votre système d’information par le programme malveillant Qakbot ».

En attendant un retour

Qakbot compte parmi les maliciels de primo-infection les plus utilisés. L’opération menée le week-end dernier aura un impact significatif, mais qui ne sera que temporaire. Les spécialistes du renseignement sur les menaces sont d’ailleurs formels : Qakbot n’est pas mort ; il n’est que temporairement affaibli. Un peu comme l’a été Emotet fin janvier 2021. Selon le tribunal judiciaire de Paris, un total de 170 serveurs étaient « à l’origine du bot » Qakbot. Tous n'ont vraisemblablement pas été saisis.

En outre, l’arsenal du groupe référencé TA551 ne se limite pas à QakBot : il faut également compter avec IcedID, aussi appelé BokBot. Ce dernier est également utilisé dans des cyberattaques avec ransomware, notamment Nokoyama.