Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
Oct    
News les Plus Populaires



Nouvelle attaque de Dorkbot



Tyupkin retire de l'argent : Kaspersky Lab publie une analyse sur un Trojan de distributeur automatique de billets



Pannes dans le Cloud suite à la réparation d'un hyperviseur



Exploitation d'une vulnérabilité 0jour dans Windows par le groupuscule APT Sandworm



Attaques Shellshock : premiers bilans
 
 

  Page d'accueil / Actualité

Opération Ababil : bilan

18.02.2013 19:08 MSK   |   comment

A l'issue d'une nouvelle série d'attaques DDoS contre des banques américaines, le groupe islamiste des "cyber-guerriers d'Izz ad-Din al-Qassam" a annoncé une trève.

Les hacktivistes ont laissé entendre qu'ils étaient satisfaits des résultats de leurs actions de protestation : la vidéo "L'innocence des musulmans", qui avait officiellement mis le feu aux poudres, a été retirée de Youtube (du moins, la version originale). Il est tout à fait possible que cette "retraite" ait une autre origine : d'après les experts qui ont étudié l'attaque DDoS et qui ont été impliqués dans la protection contre celle-ci, les principaux flux de trafic malveillant dans le cadre de l'opération Ababil ne provenaient pas des ordinateurs des hacktivistes, comme c'est généralement le cas, mais bien de milliers de serveurs Internet sur la majorité desquels le système de gestion du contenu Joomla était installé. La puissance de ces attaques DDoS, qui ont atteint des pointes de 70 à 100 Gbits/s, leur niveau technique élevé et la sélection minutieuse des cibles (protection adéquate et expérience dans l'auto-défense) ont amené les experts à penser que cette action retentissante de crowdsourcing des islamistes n'était qu'un rideau de fumée masquant une démonstration de force plus sérieuse.

Quoi qu'il en soit, les attaques DDoS efficaces menées contre de grandes banques américaines en septembre, en décembre et au début du mois de janvier ont mis à nu les points faibles dans la protection et ont à nouveau mis en évidence les problèmes qui persistent dans la sécurité sur Internet comme l'existence de résolveurs ouverts ou de systèmes de gestion du contenu vulnérables. Comme nous l'avons déjà dit, pour pouvoir lutter contre des menaces DDoS ciblées et complexes, les experts recommandent d'intégrer à l'arsenal de protection des outils spécialisés dans la collecte en temps réel de données sur ces cyberattaques. Pour l'instant, les services de protection contre les attaques DDoS sont en mesure de remplir leurs fonctions, mais certains ont déjà indiqué, que pour pouvoir résister à des attaques semblables aux dernières en date, il faut mettre au point une technologie plus avancée qui ne repose pas uniquement sur le filtrage des adresses IP et du volume de trafic comme c'est le cas aujourd'hui. Afin de pouvoir détecter à temps une telle attaque DDoS et mettre en place une ligne défensive adéquate, il faut pouvoir surveiller le réseau sans interruption à différents niveaux, y compris le niveau application. Cette surveillance doit s'opérer de manière localisée, sans quoi elle pourrait perturber les processus métier.

Et pour l'instant, les spécialistes de la protection contre les attaques DDoS affirment que la lutte contre des attaques d'une telle complexité et d'une telle durée (20 jours en moyenne pour certaines attaques) doit s'organiser en l'absence de données opérationnelles. Malgré tous les appels et les tentatives pour organiser l'échange d'informations relatives aux cyber-incidents, les entreprises de renom et leurs fournisseurs d'accès Internet ne se pressent pas pour partager les "nouvelles du front" détaillées avec des personnes extérieures, et encore moins avec le grand public. Elles ont peur de nuire à leur réputation et ne souhaitent pas fâcher les auteurs de l'attaque, d'autres entités auxquelles elles sont liées par contrat ou elles craignent tout simplement de perdre un bon client.

Vu ce déficit d'informations, les résultats de la surveillance en temps réel des incidents de DDoS semblables à ceux présentés par le fournisseur de réseau de diffusion de contenu (CDN) Incapsula sont très appréciables. Ce bref rapport démontre clairement comment une vulnérabilité sur un petit site peut se transformer en attaque d'envergure contre plusieurs services de l'autre côté de l'Atlantique. Au début du mois de janvier, les experts de Incapsula ont détecté une activité suspecte sur un site britannique qui utilisait depuis peu le service Web de la société. Cette petite ressource d'aspect inoffensif était le siège d'un nombre anormalement élevé de requêtes impliquant du code php chiffré. Il s'agissait d'une tentative évidente d'activation d'une porte dérobée et d'utilisation du site en tant que bot. Les experts étaient bel et bien en présence de commandes pour organiser des attaques de type HTTP et UDP flood contre plusieurs banques américaines et elle provenaient d'un serveur de commande en Turquie. Les requêtes malveillantes furent bloquées et la surveillance mise en place par la suite permit de voir que les auteurs de l'attaque avaient essayé d'appliquer des injections dynamiques de code php et d'utiliser la puissance d'un serveur intermédiaire afin d'augmenter le trafic DDoS en répétant l'attaque selon un intervalle défini. Après quelques-temps, les experts ont observé un changement de cibles : les banques avaient été remplacées par des services commerciaux quelconques ; tout semble indiquer qu'Incapsula avait observé l'œuvre d'un réseau de zombies loué.

Pour les experts, il ne faisait aucun doute que le débutant se connectait au réseau de diffusion du contenu à l'aide d'une porte dérobée. La méthode utilisée pour compromettre le site a été des plus rudimentaires : l'administrateur avait choisi pour son nom d'utilisateur et son mot de passe la combinaison très originale... admin/admin. Comme le fait justement remarquer Incapsula, ce sont ces maillons faibles qui minent la sécurité sur Internet. En tant qu'utilisateurs d'Internet, nous devons placer la sécurité parmi nos priorités et cette sécurité est notre responsabilité collective.

Sources :

 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com