Publié le 28-02-2004 dans le thème Virus - Antivirus

Pays : Europe - Auteur : Damien Bancal

Pub : Tous les logiciels antispyware gratuits disponibles sur Internet

Virus SQL, le web fait la tronche !

Samedi 25 janvier, 06 heures 30 du matin, une attaque lancée par un ou plusieurs groupes pirates commence à perturber le réseau des réseaux via un DDoS mis en place par un virus SQL nommé Saphhire.

Plusieurs gros serveurs tel que UUnet, Level 3, Ld Com ou encore H.P. sont tombés en rade.
L'attaque a visé l'Asie, l'Europe et le Pacifique puis s'est répandue sur toute la planéte. La France a aussi été touchée de maniére assez forte avec des probléme chez E-nexus, Caramail, Voila, OVH et même Wanadoo. Sur un acces ADSL wanadoo, il a été compté environ 1 paquet de 376 octets par minute. Imaginez le débit total pour la filiale de France Télécom. En belgique Skynet a du fermer des connections suspecte. Toutes les connections ayant un traffic trop important avaient été bloquées afin de protéger le réseau de l'attaque. Au moins cinq de treize root-serveurs ont été perturbés. En italie, ce n'est pas moins de 14 000 bureaux de poste qui se sont retrouvés sans ordinateur. Bref une sacré pagaille. En afrique du sud South African Standard Bank's et le Standard Bank Card Division étaient HS. Impossible pour les clients d'utiliser leurs cartes bancaires.

Le pays le plus touché reste la Corée d'ou semble être parti cette aggression numérique. Cependant certains experts pensant que ce virus est parti de Hong-Kong. Pourtant le plus important fournisseur du pays, Korean Telecom, a vu ses serveurs détournées.
Pour rappel 7 coréens sur 10 sont connectés à Internet. On vous invite à voir en image, dans un document exclusif ZATAZ, l'attaque de Sapphire. (0)

Kommentkifait ?
Ce code malveillant exploite une vulnérabilité des « SQL Servers » pour lancer des attaques de déni de service contre les serveurs de réseaux d’entreprises. Il envoie un paquet de 376 octets au port UDP 1434 (Port de Service d’Assistance de SQL Server). Afin d’envoyer ce paquet qui inclut le ver W32/SQLSlammer, il ouvre un port netbios. Simultanément, il utilise une fonction pour créer une adresse IP pour effectuer cet envoi. Il cherche à travers le réseau d’autres SQL Servers avec la même vulnérabilité, s’installe et se réplique dessus. Quelques heures après son apparition, des milliers de serveurs étaient affectés. Les dégâts occasionnés par ce code malveillant relèvent de l’attaque de déni de service, qui provoque notamment des échecs de services de messagerie, le ralentissement de connexions Internet et un blocage des réseaux. Voici en animation l'action de Sapphire.

Les principales applications utilisant Microsoft SQL Server : Compaq Insight Manager; Crystal Reports Enterprise; Dell OpenManage; HP Openview Internet Services Monitor; Microsoft .NET Framework SDK; Microsoft Office XP Developer Edition; Microsoft Project; Microsoft Visio 2000; Microsoft Visual FoxPro; Microsoft Visual Studio.NET et Veritas Backup Exec. Lors du Defcon 10, qui se déroulait à las Vegas en août 2002, un expert britannique, David Litchfield, co-fondateur du logiciel NGS, avait présenté un code viral du type de Slammer. David Litchfield avait présenté sa découverte lors de la session Black-Hat, montrant le danger d'un virus de ce type.

Qui ?
Depuis plusieurs mois des "essais" d'attaques, comme le Déni de Service Distribué à l'encontre des 13 root-serveurs (1) - (2) (21 octobre 2002) ou encore contre UltimatDNS (3) (27 novembre 2002) ont montré que des actions se préparaient. Depuis quelques semaines déjà, sur le réseau Darknet, les pirates parlaient d'une attaque de masse mais sans vraiment dire qui, quoi, comment et pourquoi.

Nous vous avions expliqué en juillet dernier comment le groupe de pirates "Fluffy Bunny" préparait dans son coin une attaque de ce genre (4). Nous vous avions aussi expliqué que ce genre d'attaque n'avait rien de difficile en vous montrant comment un spécialiste de la sécurité informatique français avait réussi, en quelques semaines, a regrouper une base de données de plus d'un million de serveurs Internet capable de servir à une telle offensive (5).

Le "piratage" de ce samedi matin "n'a" débuté qu'avec 17 000 requetes SQL qui ont crée un buffer overflows venant de 5 000 zombies, et cela en moins de 30 minutes. Par Zombies comprenez serveurs piratés servant de relai pour lancer le virus sur le réseau.

L'Association Coopérative pour l'Analyse des Données d'Internet, le CAIDA, va constater que le ver a doublé de densité toutes les 8.5 secondes. De quoi bloquer le réseau des réseaux en ... 15 minutes.

Quoi ?
Ce virus nommé SnakeSql lors de sa découverte en mars 2002, (6) avait obligé Microsoft a publier une alerte au sujet d'un probléme de sécurité qui visait sa version SQL 7 et son serveur de SQL 2000. Les potes à Bill avait expliqué qu'un code malveillant appelé aussi Voyager Alpha Force se promenait sur le réseau et volait les mots de passe des comptes administrateur. Il avait touché à l'époque plus de 2 000 serveurs, dés son apparition. Cette année, sur une classe C filtrée, il a été compté pas moins de 28 000 paquets en quelques minutes.

Motivation ?
Alors kikiatoké en ce samedi matin ? Voici plusieurs pistes possible ! Il doit y en avoir beaucoup d'autres :

:: Pirates Chinois qui fêtent le nouvel an ? L'année du Cheval... de Troie ! Rappelons aussi que l'armée chinoise n'a jamais caché travailler sur des codes viraux pouvant être utilisés en cas de conflit militaire. Les pirates chinois aiment, eux aussi, abuser de virii. Le groupe Hacker Union avait utilisé des virii, comme Torn, aprés qu'un avion espion de l'Us Army soit venu s'écraser sur le sol de leur pays. (8) (9) Update : 26/01 - Au vu de notre enquête, il semble que cette hypothése soit la bonne.

:: Des hacktivistes qui manifestent lors du lancement du forum de Davos ? (10) Ce virus MS-SQL a envoyé des millions de paquets UDP, un moyen comme un autre de manifester !

:: Guerre dans le petit monde du warez ? La faille employée par le virus est celle qui etait utilisée par les groupes warez pour placer leurs productions, Films, logiciels, mp3, Bds, sur des serveurs piratés grace à ce probléme de sécurité. Nous vous l'expliquions dans plusieurs de nos enquêtes, sur zataz.com (11) ou sur ZATAZ Magazine papier. (11b)

A noter qu'aujourd'hui 50 %, si ce n'est plus, des stros, comprenez des serveurs d'hebergement piratés, sont hors service. On peut d'ailleur se poser une question. La faille IIS, que les groupes warez adoraient va elle aussi quasiment disparaitre avec l'apparition du virus Code Red en 2001. Le warez va mettre du temps à s'en remettre. Aujourd'hui, SnakeSql remet au tapis les groupes de pirates de films/logiciels/ .... Et si le RIAA, la MPAA ou autres ... avaient commandité cette attaque ? Difficile à croire ! Ce n'est pas eux qui avaient pourtant demandé de pouvoir pirater les pirates ! (12)

:: Un neuneu du web qui vient de découvrir le logiciel dernier cri et qui va cliquer dessus ... (13) Deux secondes plus tard il part en criant pas glop ! Pas glop ! Pas glop ! Pas glop !!!
Souvenez-vous de Mafia-Boy, en 2000, qui va attaquer Yahoo, Cnn, ... ou encore le créateur du virus Kournikova. ZATAZ Magazine vous expliquait à l'époque comment ce virus avait été créé avec un générateur (14) de virus trouvé sur le web !

:: Terroriste ? Le mot est tellement utilisé par le législateur que n'importe quel idiot du village, copieur, pirate est un terrosiste aujourd'hui sur Internet. Cependant ce virus a perturbé des usines, des banques, des transactions bancaires informatisées, les mels, ...

:: Escroquerie ? Pendant que les administrateurs se tapait la tête contre les murs, un pirate a peut-être vidé les caisses d'une ou plusieurs cibles précises. Aux Etats-Unis, la banque Bank of America Corp. a expliqué que la majorité de ses 13 000 distributeurs automatiques de billets étaient incapables de traiter des transactions suite à l'attaque du virus Sql et Américan Express était, de son côté, dans l'incapacité de fournir le moindre services à ses clients !

:: Bush qui se trompe de bouton et pense acheter des Bretzels sur le web ? Peu probable ! Mes un ou des services de renseignements profitant de ce genre "d'outil" pour forcer les entreprises du pays à se sécuriser avant une guerre annoncée ?

Bref des suppositions sans fondement, juste l'experience de cas vécus et connus de piratages, attaques, ...

Demain ?
Et bien demain sera un autre jour ! Il est malheureusement fort à parier qu'une nouvelle variante de ce virus apparaisse avec cette fois-ci des options beaucoup plus dangereuses. Aussi étonnant que cela puisse paraitre, Sapphire n'avait aucune charge de destruction, son seul but effrainé de reproduction, comme le virus Code Red en 2001, a perturbé le réseau, sans le paralyser. Sapphire aura touché quasiment autant de serveur que son grand frêre, soit 300 000 machines d'aprés Symantec.

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Des jeux en ligne pour enfants attendrissants mais infectés de virus

Les jeux online pour enfants ne sont pas sans danger. Plus de 60 sites infectés au cours des 30 derniers jours.

Le Cheval de Troie Carberp Cible les Abonnés de la Freebox

Un code malveillant s´invite chez les clients Free afin de leur ponctionner leurs données bancaires.

Un virus exploite Facebook pour faire des petits

Un virus informatique passe par quelque 45.000 comptes Facebook pour se reproduire.

Un site d'Amnesty International hacked

Le site britannique de l'ONG Amnesty International, AOL et DailyMail exploites dans la diffusion d'un logiciel espion.

Zero day pour Yahoo Messenger

Un nouvel exploit de type 0day sévit sur Yahoo! Messenger en modifiant les statuts des utilisateur… et diffuse bien sûr des malwares !

Un nouveau virus Facebook s´attaque à vos données bancaires

Un virus informatique, diffusé par Facebook, installe le bot Zeus. Un code malveillant qui s´intéresse à vos données bancaires.

Infiltrations en cours, prudence

Plusieurs centaines de sites web exploités dans une infiltration informatique via un kit pirate datant du 18 novembre dernier.

Un outil gratuit pour tuer le bot TDSS

Le bot TDSS (Pihar, Sst...) vient de voir débarquer son pire ennemi via un logiciel gratuit dédié à le détruire.

Réagissez à ce contenu