Les forces de l'ordre américaines et canadiennes ont récemment arrêté et inculpé un Canadien soupçonné d'exploiter le botnet par déni de service distribué (DDoS) « KimWolf », qui a infecté près de deux millions d'appareils dans le monde.

Selon l'acte d'accusation public, Jacob Butler, un Canadien de 23 ans, connu en ligne sous le nom de "Dort", a été arrêté mercredi par les autorités policières locales à Ottawa, au Canada, en vertu d'un mandat d'extradition américain. Une plainte pénale dévoilée jeudi par le bureau du procureur américain du district d'Alaska a déclaré que les enquêteurs avaient lié Butler aux activités opérationnelles du botnet « KimWolf » via des adresses IP et des informations de compte en ligne, des enregistrements de transactions associés et des enregistrements de communications réseau.

Les procureurs ont accusé Butler d'avoir aidé et encouragé des intrusions informatiques et fait actuellement face à une accusation connexe qui pourrait entraîner une peine maximale de 10 ans de prison. Il sera ensuite extradé vers les États-Unis pour y être jugé. Selon le dossier, « KimWolf » fonctionnait comme un service payant de « proxy DDoS » et était utilisé par les cybercriminels pour lancer des attaques par déni de service de haute intensité. Une partie du trafic d’attaque approchait autrefois les 30 térabits par seconde, ce qui en faisait l’une des plus grandes attaques DDoS rendues publiques à l’époque.

L'enquête a révélé que Butler avait adopté un modèle de « cybercriminalité en tant que service », vendant le réseau « de chair à griller » à grande échelle qu'il contrôlait à d'autres sur une base de visionnage ou d'abonnement pour l'utiliser dans le lancement d'attaques. Ces appareils contrôlés vont des cadres photo numériques et des webcams aux boîtiers TV basés sur Android et aux appareils de lecture multimédia en streaming.

Selon certaines informations, le botnet « KimWolf » a été utilisé pour lancer plus de 25 000 attaques dans le monde, ciblant divers ordinateurs et serveurs, y compris des adresses IP liées au réseau d'information du département américain de la Défense (DoDIN). Certaines institutions victimes auraient ainsi subi des pertes financières de plus d'un million de dollars.

La société de cybersécurité Synthient a suivi l'expansion de « KimWolf » et a publié un rapport en janvier de cette année indiquant que le botnet s'est rapidement étendu à près de 2 millions d'appareils infectés après avoir exploité les vulnérabilités du réseau proxy résidentiel pour attaquer les appareils Android. Les chercheurs ont également affirmé que « KimWolf » peut générer environ 12 millions d'adresses IP uniques chaque semaine, qui sont utilisées pour masquer la véritable source des attaques et améliorer la résilience aux attaques.

Dans le même temps, la Cour fédérale américaine du district central de Californie a également descellé plusieurs ordonnances de saisie et mis en œuvre des saisies de noms de domaine et d'infrastructures contre 45 plates-formes fournissant des services proxy DDoS, affectant un certain nombre de plates-formes entretenant des relations de coopération avec « KimWolf ». Le ministère américain de la Justice a déclaré que les forces de l'ordre ont saisi les enregistrements de noms de domaine liés à ces services et redirigé les demandes d'accès vers des pages d'avertissement officielles pour rappeler au public que les services proxy DDoS sont illégaux.

L'arrestation de Butler est un autre développement clé après une opération transnationale d'application de la loi en mars de cette année. Dans cette opération, les États-Unis, l'Allemagne et le Canada ont travaillé ensemble pour saisir et couper l'infrastructure de commandement et de contrôle de « KimWolf » et de trois botnets associés : « Aisuru », « JackSkid » et « Mossad ». Ensemble, ces quatre botnets ont infecté plus de 3 millions d’appareils IoT.

Le ministère de la Justice a révélé à l'époque qu'un grand nombre de « poulets de chair » de ces botnets comprenaient des webcams, des enregistreurs vidéo numériques et des routeurs Wi-Fi, et qu'un nombre considérable d'entre eux étaient situés aux États-Unis. Les forces de l’ordre ont souligné qu’elles continueraient à travailler avec leurs partenaires internationaux pour cibler et détruire ces infrastructures malveillantes à grande échelle, tout en tenant pénalement responsables ceux qui se cachent derrière la scène.