Démantèlement du réseau de zombies Avalanche

Numéro : AL16-023
Date : Le 1er décembre 2016

Objet

La présente a pour but d’attirer votre attention sur le démantèlement récent du réseau de zombies « Avalanche ».

Évaluation

Le 30 novembre 2016, il y a eu un démantèlement coopératif à l’échelle mondiale du réseau de zombies Avalanche. « Avalanche » désigne une infrastructure de réseau internationale de « logiciels criminels comme service (CaaS pour « crimeware-as-a-service ») exploitée par des cybercriminels afin de mener des activités malveillantes, dont : des attaques de déni de service, la distribution de maliciels et des opérations de hameçonnage et de « porteurs d’argent ».

L’effort coopératif mondial visant à démanteler l’infrastructure du réseau Avalanche a exigé une des plus grandes opérations faisant appel à des puisards jamais organisée, plus de 800 000 domaines ayant été bloqués/saisis/transformés en puisard. Le réseau Avalanche utilisait la technique de DNS à mutation rapide double pour tenter de se cacher, agissant comme infrastructure de commande et contrôle pour de multiples familles de maliciels, y compris :

La Gendarmerie royale du Canada a mené l’effort d’application de la loi au Canada, avec l’aide du Centre canadien de réponse aux incidents cybernétiques pour la notification des victimes canadiennes et l’application de mesures correctives.

Mesures Recommandées

Étant donné que le réseau de zombies Avalanche est associé à plusieurs familles de maliciels et à tout un éventail d’activités malveillantes, l’identification des compromissions et/ou des infections peut exiger différentes mesures rigoureuses.

Le CCRIC recommande aux organisations d’examiner les renseignements d’atténuation/mesures de prévention ci-dessous et d’en envisager la mise en œuvre dans le contexte de leur environnement de réseau.

Il est important de souligner que les infections peuvent être dévastatrices pour une personne ou une organisation, et que la reprise des activités peut être un processus difficile, pouvant exiger les services d’un spécialiste réputé en récupération de données.

Références :

Communiqué de presse d’Europol :
https://www.europol.europa.eu/newsroom/news/%E2%80%98avalanche%E2%80%99-network-dismantled-in-international-cyber-operation

Information de l’EIUI des É.-U. sur le réseau Avalanche :
http://us-cert.gov/avalanche

Information de Shadowserver sur le réseau Avalanche :
http://blog.shadowserver.org/2016/12/01/avalanche/

Rapport technique du CCRIC TR11-001 (Guide de rétablissement à la suite d’une infection par un logiciel malveillant) :
https://www.securitepublique.gc.ca/cnt/rsrcs/cybr-ctr/2011/tr11-001-fr.aspx

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :