Des chercheurs du CERT (Computer Emergency Response Team) en Georgie sont parvenus à traquer un hacker qui utilisait un malware au nom de « Georbot Botnet ». Ce malware touchait des machines entre-autres aux États-Unis, en France, en Géorgie, en Ukraine et au Canada.
Les hackers utilisaient des failles système pour infiltrer les systèmes informatiques d’ONG, de banques, de ministères et de parlements afin de dérober des fichiers sensibles. Ils avaient aussi mis des liens sur des sites susceptibles d’intéresser les personnes ciblées.
Le mode opératoire du programme est relativement simple : il scanne tout le disque dur à la recherche de fichiers correspondants à certains mots-clés et utilise également la webcam et le microphone intégré aux ordinateurs pour espionner les personnes ciblées. Tout a commencé en mars 2011 et aurait duré 12 mois. Les membres du CERT qui s’occupent de tracer les hackers disent que le piratage est lié à « des agences de sécurité russes ».
Au cours de leur recherche, que l’on peut lire dans un rapport de 27 pages, ils ont infecté un des hackers avec son propre malware (oh l’ironie…). Ils ont alors filmé l’homme pendant qu’il utilisait un des ordinateurs infectés.
Voici comment ils ont procédé pour infecter le hacker : ils ont commencé par infecter volontairement un de leurs ordinateurs avec Georbot. Ensuite, ils y ont placé un fichier ZIP nommé « Georgian-NATO Agreement » (accord Géorgie-OTAN) contenant… Georbot. Fatalement, le fichier a été repéré par le virus et donc acheminé vers le hacker. Le CERT avait donc le contrôle de son PC. Ils en ont profité pour enregistrer une vidéo de l’individu et récupérer des documents russes dans lesquels il expliquait à quelqu’un comment utiliser son programme et infecter des gens. Ils l’ont également lié à d’autres hackers russes et allemands. Évidemment, ils ont aussi obtenu des informations concernant son fournisseur d’accès Internet, sa ville, son e-mail, etc.
Je trouve ça juste magnifique :’) C’est du beau boulot de la part du CERT, qui va pouvoir aider le monde à mener son enquête sur ces attaques. Comme quoi, ce n’est pas parce que c’est son propre virus qu’il n’y avait pas de risque d’être infecté…
Sources : Korben
