Le blog Last Line of Defense a publié cette semaine une analyse d’un nouveau dispositif de sécurité mis en place par les fraudeurs exploitant le malware ZeuS ; ces derniers disposeraient désormais d’un honeypot (c-a-d un système ouvert, destiné à être piraté pour mieux étudier l’attaquant) destiné à attirer les chercheurs et à les intoxiquer. Ce honeypot, constitué d’une fausse console d’administration d’un botnet ZeuS, est accessible à travers des mots de passe triviaux, comme « admin », « nimda », « toor », etc. Ce système permet également de dissimuler la véritable interface d’administration, que plus personne n’ira chercher.
Cette fausse console d’administration divulgue des données totalement fantaisistes aux chercheurs qui s’y seraient connectés, afin de les aiguiller vers de fausses pistes d’investigation. En particulier, les statistiques d’infection sont complètement bidonnés, issus d’une fonction aléatoire.
L’ennui, c’est que la capture d’écran illustrant ce blog est, pixel pour pixel, identique à celle qui illustrait le blog de la société SecuAlert (dont nous nous faisions l’écho ici même), qui s’appuyait sur cette capture d’écran pour affirmer que la cyber-armée iranienne pourrait disposer d’un botnet de 20 millions de machines.
Une opération d’intoxication qui aura visiblement atteint son but ! Et qui aura sans doute permis aux pirates, au passage, de récupérer les adresses IP des différents chercheurs s’étant connectés au pot de miel. Dans tous les cas, mea culpa et mes excuses pour avoir relayé dans ce blog, même au conditionnel, cette estimation totalement erronée.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));