Les scellés de la plainte déposée par Google désignant plusieurs ressortissants russes et des entités inconnues qui seraient responsables de l’exploitation du botnet Glupteba qui a compromis plus d’un million de machines (articles Google disponibles ici et ici) ont été levés.

Google a utilisé les produits et services d’investigation de Chainalysis pour enquêter sur le botnet, qui présente deux liens majeurs avec les cryptomonnaies :

1. Le cryptojacking : Les opérateurs de Glupteba ont utilisé les machines qu’ils ont compromises pour plusieurs projets criminels, y compris l’utilisation de leur puissance de calcul pour miner des cryptomonnaies.

2. Une tactique jusqu’alors inconnue pour empêcher sa fermeture : Glupteba a utilisé la blockchain Bitcoin pour encoder les serveurs de commande et de contrôle (C2) mis à jour dans les Op_Returns des transactions Bitcoin. En d’autres termes, chaque fois que l’un des serveurs C2 de Glupteba est fermé, il suffit de scanner la blockchain pour trouver la nouvelle adresse de domaine du serveur C2, cachée parmi les centaines de milliers de transactions Bitcoin quotidiennes dans le monde. Cette tactique rend le botnet Glupteba extrêmement difficile à perturber par les techniques de cybersécurité classiques, qui visent à désactiver les domaines de serveurs C2. Il s’agit du premier cas connu d’un botnet utilisant cette approche.

L’enquête a notamment révélé des transactions en cryptomonnaies provenant de la Federation Tower East, un immeuble de bureaux de luxe à Moscou où sont basées de nombreuses entreprises de cryptomonnaies connues pour blanchir des fonds criminels.

Cette affaire démontre que les équipes de cybersécurité de la plupart des entreprises sont des cibles potentielles pour les cybercriminels - en particulier celles qui possèdent de grandes quantités de données sensibles sur les clients - et doivent donc avoir une connaissance approfondie de l’analyse des cryptomonnaies et des blockchains pour garder une longueur d’avance sur les cybercriminels.