Une étude révèle que 80 % des fausses informations sur Twitter pour l'élection présidentielle américaine de 2020 venaient de seulement 0,3 % des utilisateurs.
Une étude révèle que 80 % des fausses informations sur Twitter pour l'élection présidentielle américaine de 2020 venaient de seulement 0,3 % des utilisateurs.
L'opération Endgame, menée par les services de police de plusieurs pays, a permis de fermer plusieurs serveurs et réseaux de botnet. Parmi les structures visées, on retrouve des réseaux de « droppers », des outils particulièrement importants pour l'infiltration de ransomwares.
L'opération Endgame, menée par les services de police de plusieurs pays, a permis de fermer plusieurs serveurs et réseaux de botnet. Parmi les structures visées, on retrouve des réseaux de « droppers », des outils particulièrement importants pour l'infiltration de ransomwares.
Au cours des trois derniers mois, les cybercriminels derrière le botnet CatDDoS ont utilisé plus de 80 failles de sécurité différentes pour compromettre des appareils ! Ce botnet est ensuite utilisé pour effectuer des attaques DDoS. Faisons le point.
Le botnet CatDDoS, apparu pour la première fois en août 2023 et qui est considéré comme une variante du botnet Mirai, a été observé par l'équipe de chercheurs QiAnXin XLab. Il s'avère que le botnet a été utilisé pour cibler jusqu'à 300 appareils par jour et que pour la compromission de ces derniers, il s'appuie sur pas moins de 80 vulnérabilités différentes. Certaines n'ont pas encore été identifiées et il pourrait s'agir de zero-day, d'après le rapport publié par QiAnXin XLab.
Certaines vulnérabilités sont récentes, tandis que d'autres ont été découvertes il y a plusieurs années. Parmi les produits pris pour cible, nous pouvons citer : Apache Log4j, Apache ActiveMQ, Cacti, Jenkins, les routeurs Linksys, Netgear, TP-Link et D-Link, les NAS Seagate, les contrôleurs de gestion Wi-Fi Ruckus, des équipements de chez Zyxel ou encore différents modèles de caméras notamment chez Avtech. Il y a une réelle diversité dans cette liste.
Toujours d'après ce rapport, la France fait partie des pays les plus impactés par les attaques DDoS orchestrées par CatDDoS : "Nous pouvons constater que les cibles des gangs liés à CatDDoS sont réparties dans le monde entier, en particulier aux États-Unis, en France, en Allemagne, au Brésil et en Chine." - Il peut s'agir de fournisseurs de services Cloud, d'industries, d'administrations publiques ainsi que d'organisations dans différents domaines comme la recherche scientifique, la construction, ou encore l'éducation.
Les chercheurs expliquent également que d'autres botnets sont similaires à CatDDoS et qu'ils partagent certains éléments. On pourrait presque dire qu'il y a un modèle de fonctionnement et de code qui est partagé entre plusieurs botnets.
Nous pourrions qualifier le botnet CatDDoS de botnet polymorphe, car il est capable d'effectuer des attaques DDoS en utilisant UDP, TCP et d'autres méthodes. Il n'est pas à exclure qu'il exploite la nouvelle technique baptisée DNSBomb.
The post Le botnet CatDDoS exploite plus de 80 vulnérabilités pour compromettre des appareils ! first appeared on IT-Connect.
C’est vraiment une histoire incroyable que je découvre là… Un groupe de cyber criminels a réussi l’exploit de pirater plus de 400 000 serveurs Linux / FreeBSD / OpenBSD / SunOS / OSX depuis 15 ans, et tout le monde est passé à côté. Et tout cela grâce à un cheval de Troie appelé Ebury qui se planque discrètement dans le système.
Techniquement, Ebury s’infiltre via OpenSSH, le protocole qui permet de se connecter à distance à un serveur et une fois installé, ce parasite ouvre une porte dérobée pour que les pirates puissent entrer et sortir comme dans un moulin. Et le pire, c’est qu’il est super discret : il efface ses traces et se fait passer pour un processus légitime. Un vrai caméléon !
Très contents de mettre la main sur tous ces serveurs, les hackers ont aussi réussi à récupérer les mots de passe chiffrés de plus de 500 utilisateurs. Un trésor de guerre qui leur a permis de craquer la moitié des comptes et de se balader tranquille sur les machines infectées. D’après les experts en sécurité d’Eset, Ebury aurait commencé à sévir dès 2009, en s’attaquant aux serveurs de kernel.org, le sanctuaire du noyau Linux. Puis au fil des années, il s’est propagé un peu partout, en passant par des fournisseurs d’accès, des hébergeurs web, jusqu’à créer un méga botnet de plus de 400 000 zombies. Un peu flippant quand même…
Mais alors pourquoi personne n’a rien vu pendant tout ce temps ?
Eh bien, en 2011 déjà, des petits malins avaient repéré un truc louche et donné l’alerte. Les boss de kernel.org avaient alors promis de mener l’enquête… mais sans jamais donner de nouvelles. Un silence radio qui en dit long sur l’ampleur de la catastrophe !
Le pire dans tout ça, c’est qu’Ebury est toujours actif et continue de contaminer de nouvelles victimes grâce notamment à des failles 0-day dans des outils d’administration, du phishing, des attaques par dictionnaire sur SSH… Bref, l’attirail classique du parfait petit pirate. Sans oublier une méthode bien vicieuse : le gang vole carrément les identifiants d’autres cybercriminels et les utilise pour louer des serveurs et brouiller les pistes.
Ainsi, une fois qu’ils ont mis la main sur un maximum de machines, ils minent de la cryptomonnaie, volent des données bancaires, envoient du spam et redirigent du trafic web pour se faire du blé. La routine du cybercriminel, quoi… Mais rassurez-vous, il y a quand même des trucs à faire pour éviter de se faire piéger comme un bleu.
Déjà, oubliez le mot de passe unique et passez à l’authentification multi-facteurs sur SSH. Ensuite, surveillez vos logs et les connexions douteuses. Et si vous êtes sysadmin, appliquez direct les patchs de sécurité et surveillez régulièrement vos serveurs. Pour vous dire à quel point ces mecs sont doués, réussir à passer inaperçu pendant 15 piges et pirater autant de serveurs, c’est quand même pas rien ! Alors c’est pas une raison pour baisser la garde en touillant votre petit café !
Pour en savoir plus sur Ebury et ses impacts, n’hésitez pas à consulter ce rapport détaillé disponibles en ligne.
Bon courage 🙂
Depuis 2009, le botnet nommé Ebury a infecté pas moins de 400 000 serveurs Linux, et à la fin de l'année 2023, environ 100 000 appareils étaient toujours infectés par ce logiciel malveillant. Faisons le point !
Depuis plus de 10 ans, les chercheurs en sécurité de chez ESET suivent la progression et le comportement du botnet Ebury. Il a évolué au fil des années, que ce soit au niveau de ses capacités d'infection, que du nombre de machines compromises. Le graphique ci-dessous, partagé par ESET, montre bien cette progression.
Au total, Ebury a permis d'infecter 400 000 serveurs Linux en 15 années d'activités. Ce chiffre est énorme, mais la période est importante également : tous les serveurs n'ont pas été infectés en même temps. Comme l'explique ESET, ce botnet est actif au niveau mondial : "Il est à noter qu'il n'y a pas de limite géographique à Ebury, ce qui signifie que toute variation exceptionnelle est principalement due à l'emplacement des centres de données les plus populaires."
ESET estime qu'il est difficile d'estimer la taille du botnet à un moment donné, notamment car "il y a un flux constant de nouveaux serveurs compromis, tandis que d'autres sont nettoyés ou mis hors service."
Les cyberattaques récentes d'Ebury montrent que les cybercriminels qui sont aux manettes cherchent à s'introduire sur l'infrastructure des fournisseurs de services Cloud et hébergeurs. Ainsi, ils peuvent prendre le contrôle des serveurs des clients de l'hébergeur dont l'infrastructure est compromise. Par exemple, il peut s'agir de serveurs VPS ou de containers.
Pour l'accès initial, la technique classique du credential stuffing est utilisée, c'est-à-dire que des couples d'identifiants et mots de passe volés sont utilisés pour essayer de "brute forcer" la cible. Lorsqu'Ebury parvient à compromettre un serveur, il s'intéresse aux connexions SSH en exfiltrant le contenu du fichier "known_host" et en volant les clés SSH. Ces informations sont ensuite utilisées pour tenter de se déplacer vers d'autres machines, notamment celles connectées sur le même segment réseau.
Par la suite, le malware est capable de rediriger le trafic du serveur compromis vers un serveur piloté par les attaquants, grâce à de l'ARP spoofing. Là encore, ceci permet aux attaquants de collecter des identifiants SSH qui seront ensuite utilisés pour compromettre de nouvelles machines.
Les serveurs compromis sont utilisés par les pirates d'Ebury dans le cadre d'opérations visant à générer de l'argent. Certains serveurs seront utilisés pour envoyer des e-mails de phishing, tandis que d'autres vont héberger des sites falsifiés permettant de voler des numéros de cartes bancaires.
Enfin, si ESET a pu rédiger un rapport aussi précis et aussi complet, ce n'est pas un hasard : ESET a travaillé en collaboration avec la "National High Tech Crime Unit" (NHTCU) des Pays-Bas, qui a récemment mis la main un serveur de sauvegarde utilisé par les opérateurs d'Ebury.
The post Actif depuis 15 ans, le botnet Ebury a infecté 400 000 serveurs Linux first appeared on IT-Connect.
Connexion