Publié le 21-02-2008 dans le thème Hacking

Pays : International - Auteur : Damien Bancal

Pub : Participez à des batailles navales sanglantes et gagnez 10000 € sur Bigpoint.fr

Rapport Mensuel sur la Fraude en Ligne – Janv. 2008 édité par RSA, La Division Sécurité d’EMC.

La fraude en ligne évolue constamment. Parmi les principales menaces, les technologies de « phishing » et de « pharming » représentent les vagues de criminalité organisée les plus sophistiquées et innovantes menaçant le commerce en ligne. Les fraudeurs disposent en effet aujourd’hui de nouveaux outils et d’une réactivité d’adaptation sans précédent.

Les statistiques mentionnées dans ce rapport sont extraites du référentiel anti–phishing constitué par le Centre de commande AFCC dans le cadre de ses activités ; elles permettent de réaliser de brèves analyses et des représentations graphiques des tendances – étayées par l’expertise exclusive des analystes du Centre AFCC.

Au sommaire ce mois-ci…
Les premières attaques de Phishing basées sur « Storm Botnet »
Début janvier, le centre de commande anti-fraude de RSA détectait plusieurs attaques de Phishing utilisant comme Proxy un réseau de robots IRC  dénommé « Storm Botnet ». Ces attaques ciblaient des établissements bancaires de premier plan du Royaume-Uni à travers deux serveurs Proxy livrant les contenus aux victimes provenant d'un « vaisseau amiral ». Le réseau de dissimulation – de type « fast-flux » – véhiculant l’attaque était Storm Botnet, permettant notamment une « rotation » fréquente des adresses IP des serveurs de Proxy auxquels accèdent les victimes. Le domaine de Phishing renvoyait en effet à une adresse différente à chaque tentative d'accès et la plage d'adresses IP utilisée par les serveurs de Proxy était relativement étendue.

Dans les attaques Storm, les serveurs de nom sont enregistrés au sein du domaine – et non à l’« extérieur ». Par exemple : si le site de Phishing est hébergé sur www.stormphish. com/, le serveur de nom de ce domaine sera ns1.stormphish. com. Cette structure empêche les services de lutte contre la fraude d’identifier les autres domaines « servis » par le même réseau de Proxy – contrairement à d’autres réseaux d’hébergement (phishing, code malveillant, etc.) où les domaines additionnels peuvent être tracés.

Dans toutes ces attaques, les domaines utilisés étaient tout à fait fiables et conçus dans un format identique pour perpétrer des attaques contre différents établissements bancaires. Pour deux d’entre eux, les domaines étaient très similaires – indiquant clairement une attaque provenant d’un seul groupe.

Qui est derrière ces attaques ?
Il est très difficile d’identifier les auteurs de ces attaques qui peuvent avoir été lancées par les propriétaires du réseau Storm  – qui qu’ils soient, sachant qu’il ne s’agit pas forcément d’un seul groupe de criminels… Les attaques peuvent également avoir été lancées par des groupes louant les services du réseau Storm… Par le passé, nous avons déjà rencontré des réseaux d’hébergement fast-flux en location ; il est tout à fait possible que nous soyons dans cette situation et que Storm Botnet soit désormais commercialisé auprès de groupes criminels en tant que service d’hébergement et de dissimulation parfaitement étanche et « à l'épreuve des balles ».

Comment lutter contre ces risques d’attaques ?
Le centre de commande AFCC de RSA a une grande expérience de la détection et de l’éradication des attaques de Phishing basées sur des Proxy ou de type fast-flux – attestée notamment dans la lutte contre les activités du groupe « Rock Phish ». Comme avec d’autres attaques de Phishing dissimulées par un système fast-flux, le centre AFCC a focalisé ses efforts sur le « délistage » des domaines malveillants – plutôt que sur les adresses IP utilisées pour l’hébergement des attaques. Avec ce type d’attaque, l’autre direction de lutte consiste généralement à tracer les serveurs de contenus – « vaisseau amiral » de l’attaque.

En saisissant directement les adresses IP des serveurs de Proxy dans un navigateur, la signature pointe vers un site d’infection Storm Botnet. Il s’agit d’une signature bien connue de nombreux ordinateurs appartenant à ce réseau de robots IRC – récemment utilisé pour infecter des utilisateurs avec le logiciel malveillant Storm. Cette information nous a aidés à déterminer qu'il s’agissait bien d’attaques Storm (voir copie d’écran lors de l’accès à ces adresses IP).

Jusqu’à présent, le réseau Storm n’avait jamais été associé à des attaques de Phishing ; il connaît une croissance constante par accumulation de plus en plus de robots (« bots ») sans indication précise de leur fonction. En phase d’activité, le système est généralement associé à des activités de Spam, des attaques DDoS ou de « simples » infections. Il est également resté en sommeil pendant de longues périodes. C’est la première fois que des attaques de Phishing sont clairement liées à – et hébergées par – les ordinateurs du réseau Storm.

Ces attaques démontrent que le réseau Storm Botnet a la capacité de croître pour devenir une menace potentielle de Phishing bien plus importante qu’il n’est aujourd’hui. Dans un scénario défavorable, Storm pourrait en effet devenir l’infrastructure sous-tendant une nouvelle vague d'attaques de Phishing de type fast-flux. L’infrastructure de robots est bien établie et administrée ; il ne tient désormais qu’à ses propriétaires de choisir de l’utiliser pour des campagnes étendues de Phishing ou de diffusion de logiciels malveillants ou de le mettre à la disposition d’autres groupes de criminels. Sa capacité à fonctionner comme réseau de Phishing avec dissimulation de type fast-flux a bien été démontrée lors de ces récentes attaques – dont c’était vraisemblablement la vocation.

1.      Répartition géographique des banques ciblées par des attaques de phishing
La distribution des entités attaquées est relativement constante depuis juin 2007 et les marques américaines restent largement prédominantes. Pour le douzième mois consécutif, les établissements britanniques occupent la seconde position avec 15 % des entités attaquées. Il est intéressant de constater que l’Argentine fait son entrée au palmarès en janvier, démontrant que le Phishing s’étend désormais à de nouveaux territoires (en l’occurrence Amérique Centrale et du Sud).


2.    Nombre mensuel d’attaques de marques
Le nombre de marques attaquées a légèrement baissé en janvier et reste bien inférieur aux mois record de 2007. En janvier 2008, le centre AFCC de RSA a détecté des attaques contre 22 établissements financiers qui n’avaient jamais été attaqués auparavant. Ces résultats sont conformes aux tendances constatées au cours des trois derniers mois.


3.    Principaux pays d’hébergement
Le pourcentage d’attaques hébergées aux États-Unis continue à fluctuer – et remonte en janvier après avoir chuté en décembre. Néanmoins, les États-Unis restent en tête avec une avance encore confortable. Hong Kong reste dans le « Top 3 » comme ce fut le cas très fréquemment en 2007. Les Philippines, ayant hébergé un grand nombre de domaines « Rock Phish » en décembre, ne figurent plus dans la liste ce mois-ci. Le Royaume-Uni, la France, l’Allemagne et la Corée du Sud figurent toujours dans la liste à des taux similaires au mois précédents.

Regarder gratuitement et légalement le nouveau film de Michael Moore

Le réalisateur américain Michael Moore va propose aux américains de visionner gratuitement et légalement sur Internet son prochain brulot cinématographique, Slacker Uprising.

Un virus sur le site du Nouvel Observateur

Étrange apparition sur le site officiel du journal Le Nouvel Observateur. Une alerte virus informatique inquiétante.

La France diffuse des brochures pour protéger les enfants sur Internet

La secrétaire d'État à la Famille, Nadine Morano, lance une campagne d'information via 4.5 millions de brochures afin de protéger les enfants sur Internet.

18 mois de prison pour une sale e-blague

Un étudiant écope de 18 mois de prison ferme pour avoir poster sur un site du gouvernement Chinois une fausse alerte au tremblement de terre.

Un pirate nord-coréen arrêté pour e-espionnage

Un internaute de 34 ans arrêté pour avoir orchestré un espionnage électronique très ciblé à l'encontre du Ministère de la Défense.

12 millions de nouvelles données bancaires dans la nature

En février dernier, une banque new-yorkaise annonçait avoir perdu 4 millions de données bancaires. Il semble que cela soit trois fois plus.

Des bulletins de votes optiques disparaissent en Floride

Les élections présidentielles américaines arrivent. Déjà les premiers problèmes informatiques annoncés.

StoneGate VPN SSL

Stonesoft intègre des méthodes d’authentification forte dans son appliance StoneGate VPN SSL. Afin de fournir une sécurité efficace, le constructeur finlandais enrichit son VPN SSL de l’authentification forte.

Jack Lang piraté

Exclu: Le site Internet de jacklang.net se retrouve interdit au moins de 18 ans.

Un important site web néo nazi piraté

Blood and Honour, l'un des plus important site néo nazi du web piraté. Les comptes des membres diffusés sur Internet.

Etrange offre d'emploi sur le site Carrefour.fr

Un pirate s'invite dans l'espace de recrutement en ligne de l'enseigne de grande distribution Carrefour.

Rat d'hôtel numérique pour Best Western

Un pirate informatique indien aurait aidé la mafia russe à mettre la main sur les données confidentielles de 8 millions de clients de la chaine hôtelière Best Western.

Rotary Club Hontfleur hacked

Étonnant piratage pour le site du Rotary Club de la ville de Hontfleur. Un manifestant Kosovar est passé par là.

Un fan de sport manifeste sur le site internet du comité olympique brésilien

Le Brésil pue pendant ces jeux olympiques. Un pirate informatique passe ses e-nerfs sur le site internet du comité olympique brésilien.

Le site sur la fumette se fait fumer

Exclu : Le site Internet dédié à la légalisation du Cannabis en France se fait pirater le joint électronique.

Ministère de la Jeunesse et des Sports owned

Exclu : Un pirate se lance dans le site Internet du Ministère de la Jeunesse et des Sports Français. Plus loin, plus haut, plus fort ?

Réagissez à ce contenu