La cyber-armée iranienne se constitue un botnet

ZTE accusée de fournir du matériel d'espionnage à l'Iran



Après avoir piraté il y a deux mois un bon millier de sites web, l’auto-proclamée cyber-armée iranienne a récidivé en attaquant le mois dernier le très célèbre blog TechCrunch, spécialisé dans les actualités technologiques. Cette fois, l’objectif n’était pas de faire du bruit : les pirates avaient installé sur le site compromis un kit d’exploitation de failles, qui tentait d’infecter les visiteurs du site avec un malware. La société SecuAlert, qui a enquêté sur ce cas, vient de publier ses conclusions.

Le kit d’exploitation utilisé serait unique, assez rudimentaire même, et donc probablement issu d’un développement interne à ce groupe de pirates.  Il ne s’agirait donc pas d’un kit standard, acquis sur le marché, comme Phoenix ou Eleonore. SecuAlert, qui a pu « mettre la main » sur la console d’administration de ce kit, a pu obtenir quelques statistiques d’infection, données par la console d’administration du kit : le rythme serait de 237 nouvelles infections à la minute, et de 14.074 sur une heure. SecuAlert extrapole que près de 20 millions de machines auraient pu être infectées, si le rythme constaté avait été maintenu uniformément depuis la mise en ligne de la plateforme. Cependant, le nombre réel est probablement bien moins élevé : étant donné le caractère rudimentaire de ce kit d’exploitation, il est fort probable qu’un même visiteur ait été infecté de nombreuses fois (en fait, à chaque fois qu’il affiche une page sur les sites web compromis, soit potentiellement des dizaines de fois), chaque infection venant écraser l’ancienne.

SecuAlert affirme que le botnet ne serait pour l’heure pas exploité directement ; les pirates loueraient leur infrastructure à d’autres fraudeurs, installant sur certaines parties du botnet d’autres malwares, tels que Bredolab, Gozi, et ZeuS. Le botnet pourrait cependant permettre à ce groupe de réaliser des attaques de déni de service massives.

La mutation des moyens employés par ce groupe de pirates — passant du simple défacement de sites web à l’infection massive d’internautes à des fins criminelles — est à l’image de la transition effectuée par de nombreux autres groupes de hackers depuis 10 ans : certains de ces groupes, spécialisés dans la défiguration massive de pages web à des fins ludiques ou politiques (le site zone-h.org offre d’ailleurs des statistiques fort intéressantes à ce sujet), ont modifié leurs modes opératoires à mesure que la cybercriminalité devenait plus attrayante ; des attaques bruyantes, massives et vite nettoyées se sont progressivement transformées en attaques silencieuses, ciblées et persistantes dans la durée.





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.