Sécurité IT : révélation sur une vaste attaque d’un duo de botnets
Selon NetWitness, 2500 organisations et 75 000 ordinateurs dans le monde ont été visés par des attaques qui exploitent une variante du botnet ZeuS (Kneber) et Waledac (botnet peer to peer).
(update 19/02/10, 19:15) Alors que les États-Unis viennent tout juste de simuler un exercice de cyber-défense, une « vraie » attaque à l’échelle internationale a été révélée par NetWitness.
C’est en janvier que cette société américaine de sécurité informatique a découvert au cours d’un contrôle de routine de sécurité réseaux ce vaste assaut qui a impacté 75 000 ordinateurs dans le monde entier, notamment aux États-Unis, Mexique, Arabie Saoudite, Égypte et Turquie.
Plus de 2500 organisations ont été visées par ces attaques depuis un an, dont 374 sont établies aux États-Unis : administrations, des grandes entreprises (banques, technologies, énergie…) ou encore des établissements d’enseignement.
Selon le Wall Street Journal qui a relayé l’affaire, des firmes aussi diverses comme le groupe Merck (pharmacie) et les studios Paramount ont été touchés. Tout comme le ministère américain de la Défense.
Quels sont les vecteurs de propagation ? Selon NetWitness, il s’agirait d’une nouvelle variante du botnet ZeuS baptisée Kneber, associée à Waledac, un botnet peer to peer.
Son exploitation a permis de pirater des cordonnées bancaires, des accès à des comptes de messagerie (Hotmail, Yahoo), à des banques en ligne, et à des réseaux sociaux (Facebook).
« La co-existence de ZeuS et Waledac laisse penser à un objectif de résilience et de volonté de survie. On peut imaginer une collaboration plus poussée dans les milieux de la cyber-criminalité », analyse Amit Yoran, qui affiche un parcours étonnant dans la sécurité IT.
Cet ancien responsable chez Symantec (sécurité IT) a également occupé le poste de Directeur de la cellule fédérale de veille des menaces informatiques (US-CERT, National Cyber Security Division) du ministère américain pour la sécurité intérieure (Department of Homeland Security).
Il avait également occupé le poste de CEO d’In-Q-Tel, le fonds d’investissement de la CIA.
Selon Amit Yoran, certains signes laissent à penser qu’un groupe de pirates basé en Europe de l’Est serait à l’origine de cette vaste attaque. Des ordinateurs basés en Chine ont été probablement utilisés.
La Chine confirme son statut de carrefour pour les attaques informatiques. Les récentes découvertes de Google sur l’origine des attaques subies par les infrastructures du groupe le confirme.
| « Kneber n’est pas du tout une nouvelle menace », considère Symantec |
| Selon Symantec, « Kneber n’est pas du tout une nouvelle menace, mais plutôt un pseudonyme du cheval de Troie Zeus ». « Le nom Kneber fait juste référence à un réseau d’ordinateurs zombies (ou « bots ») contrôlés par un seul propriétaire. Le cheval de Troie est toujours le même (Trojan.Zbot), assure l’éditeur de solutions de sécurité, et porte aussi le nom Zeus. Comme on peut « facilement » se procurer des toolkits Zeus/Zbot dans l’économie souterraine, Symantec estime qu’il est fréquent que les cyber-criminels créent de nouvelles versions du botnet Zeus, telles que Kneber. Bien que la version Kneber du botnet Zeus soit assez étendue, « elle ne présente aucune nouvelle menace malicieuse ». L’éditeur assure qu’un bon anti-virus permet de se protéger de cette menace. |