Des centaines de sites web ont été piratés par un mystérieux pirate

Un hacker malveillant commercialise un exploit à 120$ ! Son « truc » permettrait d’infiltrer des sites web. Peu importe le CMS, il a fait une démonstration fracassante ces derniers jours en piratant mairies, espaces de santé et autres blogs français.

Je ne donnerai pas dans ces colonnes son pseudonyme. Cela n’est pas important et évitera à certains lecteurs de le contacter. XxX, c’est ainsi que je le nommerai, évolue sur la toile malveillante depuis de nombreux mois. La spécialité de cet internaute, qui parle l’anglais, le chinois et le bengali, est d’infiltrer les sites web pour ensuite commercialiser les accès. Il ne rechigne pas à récupérer les données bancaires piratées et autres outils permettant d’envoyer des courriels non sollicités.

Le pirate injecte sa porte cachée (shell) via son exploit.

Il vend des campagnes de spams pour quelques dollars. Il diffuse aussi, en grande quantité, des accès à des espaces web. Des échantillons de son « savoir-faire ». Accès SMTP (pour envoyer des mails), administrations de blogs (wordpress, joomla, etc.). Depuis qu’il existe en tant que pirate, le Service Veille ZATAZ a dénombré pas moins de 10 000 piratages. « Je suis une personne simple« , a pu lire ZATAZ. « Je suis un codeur simple. Je suis étudiant. Je suis un homme noir avec un masque blanc.« 

On retrouve ses traces dans des sites web qu’il a visités via des backdoors, des portes cachées portant des noms tels que son pseudonyme, ou encore une série de chiffres lettres.php. Ces derniers jours, ce jeune informaticien, qui au passage rêve d’ouvrir sa propre société informatique, a infiltré et modifié une centaine de sites web français. Parmi eux, on trouve des sophrologues, des dentistes, des sites religieux, des éditeurs, des campings, des mairies (l’ANSSI a été alertée par ZATAZ).

Pourquoi ? Comme expliqué plus haut, pour revendre les espaces à des acheteurs. ZATAZ a d’ailleurs pu repérer certaines victimes diffusant, après le passage de ce hacker malveillant, quelques jours plus tard, des annonces pour des sites pour adultes ou des propositions de téléchargement de logiciels dangereux.

Par la suite, XxX commercialise des exploits. Des vulnérabilités exploitables en quelques clics de souris. Le dernier en date repéré par le Service Veille ZATAZ : « Nouvel exploit V2. Pour tous les sites, pas seulement pour WordPress. Les anciens clients bénéficient d’une réduction. » Le logiciel est commercialisé 120$.

Et comme le montre sa dernière démonstration de ces derniers jours, cela fonctionne malheureusement très bien.

Pour vous protéger ? Mettez à jour vos sites et autres CMS ; la dernière faille visant deux millions de blogs sous WordPress est dans l’arsenal de ce malveillant. choisissez un mot de passe fort et exploitez la double authentification dès que possible. Vérifiez aussi dans vos dossiers de site web si des fichiers ne sont pas apparus : .php ; .html avec des noms étranges comme expliqué plus haut.

Des sites infiltrés ont été utilisés, ensuite, pour la diffusion de code malveillant.