Dulce
Nombre de messages : 7577 Age : 38 Localisation : Alger Emploi/loisirs/études : Actuellement superviseur en OFFSHOR et en MAGISTER II EN TRADUCTION ECOLE DOCTORALE D'ALGER Humeur/caractèr : Zen gentille Réputation : 30 Points : 1412998 Date d'inscription : 18/09/2007
| Sujet: Attaque massive : 208 000 serveurs compromis à travers le monde Mar 7 Oct - 22:28 | |
| Deux cent huit mille serveurs étaient compromis par un gang de pirates, qui géraient leur stock de manière très professionnelle. Parmi eux, 80 000 sites web étaient déjà infectés par la dernière version d'un kit de piratage que l'on croyait disparu. Aperçu d'une organisation criminelle efficace.
C'est en enquêtant sur le kit de piratage Neosploit, l'un de ses sujets favoris, que le chercheur Ian Amit (Aladdin) est tombé sur un gros morceau : un serveur FTP partagé par plusieurs groupes de pirates, qui hébergeait 208 000 codes d'accès FTP à des sites web légitimes à travers la planète. Parmi eux de nombreux sites appartenant à de grandes groupes, dont le service postal américain. En France, selon l'éditeur, les sites de TF1.fr, 3suisses.fr et bouyguestelecom.fr seraient parmi ceux compromis.
Neosploit est un outil clé-en-main qu'un pirate peut installer sur un serveur web afin que ce dernier tente d'infecter ses visiteurs lors de leur arrivée sur le site. Les PC des internautes ainsi compromis peuvent alors servir à un botnet (afin d'envoyer du spam ou mener des attaques contre d'autres serveurs) ou se voir installer un parasite publicitaire pour lequel le pirate est payé.
A la fin du mois de septembre dernier un message publié sur un forum de pirates indiquait que le kit d'infection Neosploit ne serait plus commercialisé par ses auteurs, qui semblaient ne plus être en mesure d'assurer le développement de leur outil. Mais rapidement des rumeurs faisaient état d'une nouvelle version du kit (3.1) utilisée dans l'infection des visiteurs de quelques centaines de sites web.
C'est en traquant cette nouvelle version que Ian Amit a identifié un groupe de pirates, manifestement l'un des plus gros client du business Neosploit. Au centre de leur opération, un serveur FTP underground servait de plaque tournante pour plusieurs autres organisations pirates. Après l'avoir infiltré, Ian Amit y a découvert les logins et mots de passe de 208 000 comptes FTP, qui permettent l'accès et la modification d'autant de sites web. Parmi eux, plus de 60 000 serveurs sont basés en France. La grande majorité est d'ailleurs située en Europe, même si les Etats-Unis en alignent tout de même plus de 40 000.
De tous ces serveurs les pirates en avaient vérifié 107 000, s'assurant que les mots de passe étaient valides. Et parmi ceux-ci, ils en avaient déjà infectés 82 000 avec la fameuse nouvelle version de Neosploit, qui exploite notamment une récente et très populaire vulnérabilité PDF. Enfin, les 20 000 restant étaient probablement soit en attente de validation, soit destinés à un autre usage (attaques ciblées, vol d'information, etc...).
Selon le chercheur, les pirates disposaient d'une application web afin de valider les mots de passe et d'installer automatiquement Neosploit sur les sites compromis. L'accès à cette application était limitée à six ou sept adresses IP bien précises.
Nul ne sait aujourd'hui comment les pirates ont pu se procurer tous ces codes d'accès, mais il est probable qu'ils proviennent de plusieurs sources, achetées et agrégées sur une période de temps, ou qu'ils aient eu recours à des campagnes de phishing. L'étendue des dégâts : chaque point rouge correspond à un serveur web dont les pirates disposaient des logins. - Les Nouvelles | |
|