D’après les médias d’État, au moins neuf membres du groupe de hackers responsables du développement du malware “Fireball” ont été appréhendés par les autorités chinoises.
La propagation de Fireball était parmi les plus étendues à l’échelle mondiale. Les informations ont été révélées il y a un mois, et il est estimé qu’il a touché 250 millions d’ordinateurs à travers le monde, soit environ 20 % des réseaux d’entreprise.
Les pirates informatiques impliqués ont été employés par une entreprise de marketing numérique basée à Beijing appelée Rafotech. Ils ont réussi à obtenir plus de 80 millions de yuans (11,84 millions de dollars) en créant de faux clics et en redirigeant du trafic vers d’autres sites Web, comme l’a rapporté le journal chinois Beijing Youth Daily.
Fireball a heurté le logiciel authentique de Rafotech, modifiant les paramètres des navigateurs pour contraindre les utilisateurs à télécharger des logiciels supplémentaires.
Il est possible que cela ait été diffusé via des courriers indésirables et d’autres logiciels installés, souvent des applications piratées, selon Ars Technica.
Check Point, une entreprise israélienne spécialisée dans les antivirus, a identifié une infection en analysant les classements de données d’Alexa, qui a touché 250 millions de personnes.
Microsoft a remis en question ces chiffres en affirmant qu’il avait surveillé Fireball depuis 2015 et avait éliminé environ 40 millions d’infections causées par ce logiciel malveillant.
Cependant, l’impact de Fireball a été nettement important.
Si les estimations de Check Point sont exactes, le nombre d’ordinateurs infectés par cette attaque dépasserait celui de WannaCry, qui aurait infecté 200 000 ordinateurs, ainsi que le botnet Mirai, qui aurait infecté jusqu’à 500 000 ordinateurs à un certain moment.
Comment ont-ils été appréhendés ?
Selon Xinhua de l’État, un chercheur en sécurité local a mis en lumière les activités de Rafotech en transmettant des informations à la police locale.
Le spécialiste en sécurité a expliqué qu’il a été en mesure d’examiner les modes de propagation de Fireball en se basant sur des études étrangères concernant les programmes malveillants, et a présenté des preuves démontrant que le logiciel gratuit de Rafotech incluait le même code nuisible que celui découvert dans Fireball. Ensuite, il a employé des signatures numériques pour identifier les détails d’enregistrement de la société ainsi que les personnes responsables de celle-ci.
Selon Xinhua, neuf des employés de Rafotech ont été appréhendés pour avoir commis des actes de sabotage sur des systèmes informatiques, tandis que deux autres ont également été arrêtés.
La police du district de Haidian a mentionné que les neuf individus supervisaient les activités fondamentales de Rafotech. Ces jeunes avaient accumulé plusieurs années d’expérience dans le domaine de l’informatique et maîtrisaient des techniques permettant d’éviter d’être détectés.
Selon Xinhua, l’entreprise employait environ 100 personnes, dont certaines travaillaient sur le développement de son logiciel gratuit. La police haïtienne a indiqué que ces employés avaient pris des conseils juridiques avant d’agir et avaient cherché à savoir ce qui était illégal pour éviter d’éventuelles poursuites.
Société informatique Microsoft