Un groupe de pirates qui s'est illustré par des attaques visant Twitter et le moteur de recherche chinois Baidu pratique la location de botnet.

La « cyber armée iranienne » aurait attaqué le mois dernier le site TechCrunch, en installant une page sur le site qui redirigeait vers un serveur qui bombardait les PC connectés dans le but d’installer des logiciels malveillants.

Les chercheurs d’une société baptisée Seculert ont tracé le serveur incriminé et ont trouvé que la « cyberarmée iranienne » se cachait derrière ces attaques, avec un botnet loué.

Le panneau d'administration du botnet a été laissé sans protection

Aviv Raff, CTO de et co-fondateur de Seculert, déclare : « ils ont trouvé une interface d’administration où les gens qui veulent louer un botnet peuvent décrire les machines qu’ils aimeraient infecter, et télécharger leurs propres logiciels malveillants, pour une diffusion par le réseau de PC zombies ».
Il suffit d’indiquer le nombre de machines et leur région. Il faut aussi indiquer l’URL de téléchargement de logiciels malveillants »
, précise Aviv Raff.

Le panneau d’administration du botnet a été laissé sans protection, ce qui a permis à Seculert de le localiser, puis de prévenir l’hébergeur du site et la police. Une page affichant des statistiques sur le nombre de machines infectées montrait le nom du groupe iranien dans son code source HTML.

Près de 15000 PC infectés par heure


La page des statistiques a montré que près de 15000 PC par heure avaient été infectés. Comme le serveur est actif depuis août, Seculert estime qu’il peut avoir infecté jusqu’à 20 millions de PC.

La console d’administration indique également que le kit utilisé pour transmettre les programmes malveillants ciblait l’environnement Java, les produits d’Adobe, les systèmes d’exploitation Windows et le navigateur Internet Explorer.

Aucune des vulnérabilités exploitées par le kit ne sont inconnues.



Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI