Au cours de la rencontre des hackers DefCon de Las Vegas, des chercheurs ont montré que les réseaux de zombies et leurs serveurs maîtres pouvaient communiquer entre eux en profitant d'une session VoIP (Voice over IP) et échanger des données en utilisant les touches d'un clavier téléphonique. Selon Itzik Kotler et Ian Amit Iftach, deux chercheurs de l'entreprise de sécurité et d'évaluation des risques Security Art, cela donne aux botmasters — dont l'une des principales préoccupations est de rester anonyme — la capacité d'envoyer des commandes depuis n'importe quelle cabine téléphonique ou depuis des téléphones sans fil jetables. Cette possibilité de recourir à des téléphones et à des réseaux de téléphonie publique prive ceux qui luttent contre les bots de leur arme principale : déconnecter les serveurs de commande et de contrôle des botnets. En effet, si le botmaster n'utilise pas un serveur de commande et de contrôle, il ne peut pas être déconnecté. En fait, le botmaster peut communiquer avec les machines zombies qui composent le botnet sans utiliser l'Internet dans le cas où tous les zombies sont situés dans un réseau d'entreprise. Donc, même si le réseau VoIP d'une entreprise dont les ordinateurs sont sous l'emprise d'un botnet est distinct du réseau de données, le lien avec le monde extérieur reste actif. En plus de sa furtivité, la tactique VoIP utilise une technologie, qui traverse facilement les pare-feu d'entreprise et utilise, de surcroît, un trafic difficile à scruter pour le logiciel chargé de prévenir contre la perte des données. Puisque, ce trafic passe en audio, et les scanners de prévention ne peuvent pas identifier les marqueurs des données qu'ils sont censés filtrer. Mais l'utilisation de la VoIP comme canal de commande n'a pas que des avantages. D'une part, la VoIP limite énormément le nombre de machines zombies qu'il est possible de contacter en même temps. Ensuite, le système téléphonique limite la vitesse à laquelle les données volées peuvent être renvoyées. Cependant, selon les chercheurs, ces connexions sont largement suffisantes pour faire passer des séquences de commandes. Pour leur démonstration, les deux chercheurs ont utilisé un système IP Asterisk PBX Open Source pour simuler un PBX d'entreprise. Une machine virtuelle représentant l'ordinateur zombie sur un réseau d'entreprise a été connectée via TCP/IP au PBX et a rejoint une conférence téléphonique. Un BlackBerry, faisant office de botmaster, a composé un numéro sur le réseau téléphonique public pour se joindre à la même conférence. Les chercheurs ont ensuite utilisé les logiciels open source Moshi Moshi pour communiquer entre le téléphone botmaster et la machine zombie. Moshi Moshi comporte un traducteur qui convertit les commandes en tonalités téléphoniques DTMF en entrée, et transforme les données volées du format texte au format audio pour la sortie. Le trafic voix qui en résulte est orienté vers une boîte vocale que le botmaster peut interroger à sa guise. La partie la plus délicate concerne la configuration du PBX pour permettre aux tonalités DTMF de s'immiscer dans la conférence. Il faut aussi que le botmaster parvienne à créer un langage basé sur le DTMF que les bots programmés soient capables de comprendre. Les chercheurs disent que leur démonstration apporte simplement la preuve que cette technique existe, et que, s'il était amélioré, le système pourrait fonctionner beaucoup mieux. Par exemple, l'intégration de la technologie du modem pourrait permettre une exfiltration plus rapide des données, à la place des messages vocaux. Pour se défendre contre ce type d'intrusion, les deux chercheurs recommandent de cloisonner complètement le réseau VoIP et le réseau d'entreprise de manière à empêcher les ordinateurs compromis de s'introduire dans les conférences téléphoniques. Ils conseillent aussi de suivre l'activité VoIP afin de repérer les usages non autorisés des conférences téléphoniques, en dehors des heures de bureau par exemple. Ils préconisent également de classer les appels de conférence en liste blanche, afin de ne permettre l'accès qu'à des adresses IP et des numéros de téléphone autorisés.
