L’attaque « Italian Job » se répand à l’échelle de la planète

Une série d’attaques web coordonnées qui a commencé la semaine dernière en Italie se répand rapidement et a maintenant infecté 10 000 sites web dans le monde entier.

Quand les experts en sécurité ont remarqué la menace, 1 000 sites web de langue anglaise mais en domaine italien « .it » étaient affectés. Lundi, l’attaque s’était propagé à l’échelle mondiale au point d’attirer l’attention du FBI.

Les attaquants exploitent des failles connues dans les applications serveurs pour introduire du code malveillant sur des sites web tiers. L’attaque se déclenche quand un utilisateur visite un site web compromis.

Le site redirige l’utilisateur vers un autre serveur qui héberge MPack, une boîte à outils d’attaque en ligne qui distribue un code dédié à exploiter les vulnérabilités de chacun des navigateurs. Le code installe des logiciels espion et des enregistreurs de frappe au clavier (key-logger).

Selon Paul Ferguson, architecte réseau pour l’éditeur de sécurité Trend Micro, le trafic rebondit du site compromis vers un serveur situé à San Francisco qui redirige alors vers le serveur chargé de l’attaque, lequel est localisé à Chicago.

Paul Ferguson note que le serveur de San Francisco utilise une adresse IP enregistré par une entité de Hong Kong, et hébergé par une entreprise particulièrement lente à répondre aux plaintes sur les activités illégales effectuées sur ses réseaux. Pour des raisons liées à l’enquête, le nom du service d’hébergement ne peut pas être dévoilé.

Bien que l’attaque soit lancée depuis les Etats-Unis, Paul Ferguson déclare que le statut commercial de l’outil MPack rend difficile l’identification du lieu d’opération des criminels. Le code d’attaque est commercialisé de n’importe où entre 700 et 1 000 dollars. Quelque soit l’auteur de l’attaque, il ne l’a pas fait pas caprice, toujours selon l’ingénieur de Trend Micro.

La prédominance des sites affectés, l’utilisation d’un site d’hébergement connu pour ses activités criminelles, et la programmation de l’attaque en fin de semaine sont des faits qui tendent à prouver que l’opération était planifiée, ajoute le spécialiste en sécurité.

Les systèmes à jour des correctifs ne devraient pas être touchés, parce qu’aucune des vulnérabilités exploitées par l’outil MPack n’est une faille  » zero-day ». Trend Micro et Symantec pressent les utilisateurs à installer les correctifs fournis par les éditeurs de système d’exploitation et de navigateurs.

Trend Micro conseille également aux administrateurs d’implanter des systèmes de contrôle du trafic HTTP et des spywares, et de restreindre la possibilité des utilisateurs à brancher des périphériques.

Adapté d’un article de Vnunet.com publié le 19 juin 2007.