Smominru, c’est le nom d’un botnet mineur de cryptom-onnaies qui a infecté plus de 526.000 serveurs windows. On appelle botnet (de la contraction de ‘’Robot’’ et ‘’Net’’), un programme ou bot qui opère à l’intérieur d’un réseau, le net.

Au total, depuis son apparition en mai 2017, on estime qu’il aura fait miner à ses victimes environ 8.900 jetons de Monero et procuré ainsi entre 2.8 et 3.6 millions de dollars US à ceux qui en ont le contrôle, sur la base des prix de la semaine en cours.

La méthode des esclaves-maitres

Le botnet exploiterait d’après les experts du site de cyber-sécurité Proofpoint, la faille sécuritaire EternalBlue de Windows. Il procèderait aussi par des injections SQL et par une autre faille sécuritaire de Windows appelée EsteemAudit très proche de celle de l’EternalBlue. On se rappelle que c’est au moyen de l’EternalBlue développée par l’agence américaine de sécurité intérieure NSA, que des pirates avaient essaimé la toile à partir du 12 mai 2017 du programme de rançonnement WannaCry.

Contrairement à ce dernier dont les victimes étaient pour l’essentiel des ordinateurs personnels, Smominru a essentiellement infecté des ordinateurs Windows de types serveur. Ceux-ci seraient les hôtes idéaux du virus du fait qu’ils soient connectés en permanence et ont des capacités de calculs au-delà de celles des ordinateurs personnels.

La majeure partie de ces ordinateurs infectés se trouverait en Russie, en Inde et à Taiwan.

Pour tisser sa toile, le programme serait parti d’une cinquantaine d’ordinateurs dont il aurait pris le contrôle, et qui se seront chargé de l’infection des autres.

La chasse au bot

Lancé aux trousses du botnet et de ses marionnettistes, Proofpoint a pu notamment établir que la commande de contrôle du Smominru était hébergée par SharkTech, qu’il dit avoir contacté en vain.

Assisté alors de abuse.ch et de la ShadowServer Foundation, Proofpoint va procéder à un siphonage (sinkholing en anglais) c’est-à-dire un détournement vers une autre adresse, des données de la toile tissée par le logiciel malveillant. C’est ainsi qu’ils ont pu déterminé le nombre de nodes (ordinateur servant au minage de crypto-monnaies et faisant partie d’une Blockchain) estimé à 256.000. Cette initiative a fait long feu puisque les individus derrière le bot, en ont repris le contrôle en changeant simplement d’adresse.

Les experts de Proofpoint ont alors contacté mineXMR, le pool au sein duquel se trouve l’adresse de réception vers laquelle pointe les Monero illicitement minés, afin qu’elle soit bannie. Les pirates ont depuis troqué cette adresse pour une autre au sein du même pool.

L’idylle entre Darknet et Monero

Le Monero est une crypto-monnaie dite ‘’Privée’’.

D’après Europol « les transactions au sein de la Blockchain de Monero ne peuvent être attribuées à un utilisateur ou une adresse en particulier. Ces transactions sont par défaut « cachées » et leurs historiques protégés par un mode « privé »".

L’année dernière, c’était le programme malveillant DoublePulsar, développé lui aussi par la NSA, qui a été utilisé afin d’installer en background d’ordiniateurs de particuliers des logiciels de minage de Monero.

Indexée par l’Union Européenne avec d’autres monnaies telles que le Zcash et l’Ether, le Monero est d’après Europol l’une des monnaies les plus utilisées dans le monde du Darknet après le Bitcoin. Ceci tient de ce qu’AlphaBay, l’Amazon du Darknet ait intégré à sa plateforme le règlement avec ces devises.

Europol réussira à dé-publier le site fin 2017. Il est depuis peu à nouveau accessible seulement sur invitation d’un membre.

Se prémunir…

L’EternalBlue est une faille de sécurité qui permet la prise du contrôle d’un ordinateur depuis son système Bios. Le vice-président chargé des menaces de Proofpoint, Kevin Epstein rappelle que Microsoft propose depuis peu une mise à jour de ses systèmes permettant d’éviter de voir son ordinateur passer sous le contrôle d’un tiers.