- Détection de 80 000 sites légitimes détectés compromis
- Coordonnées de plus de 200 000 serveurs trouvés sur le serveur des cybercriminels
- Des sites des principaux industriels de l’armement et des sites de portails gouvernementaux compromis
- Nouvelle découverte du rôle majeur de Neosploit 3.1
- Les autorités de 86 pays ont été informées (enquêtes en cours)
Le 3 octobre 2008 Mr Iam Amit, Responsable des recherches en sécurité pour Aladdin eSafe, basé au siège social d’Aladdin Knowledge Systems en Israël, a découvert une opération de très grande envergure des cyber criminels durant ses recherches sur l’outil de piratage Neosploit 3.1.
Après avoir découvert le retour de Neosploit en tant qu’outil le plus utilisé par les cyber criminels, et avoir démontré le lien entre les récentes attaques dur des failles PDF et le retour de Neosploit, Ian Amit s’est concentré sur une opération des cybercriminels derrière l’une des installation de Neosploit (l’outil le plus utilisé par les cybercriminels) qu’il avait identifié. L’enquête est dirigée par Ian Amit et le CERT (Computer Emergency Response Team), couvrant plus de 86 pays, et impliquant les autorités au niveau mondial. Mr Amit a révélé que plus de 200 000 coordonnées de serveurs ont été trouvés sur un serveur utilisé par les cyber criminels. Ces données font partie d’une stratégie destinée à intégrer un contenu malicieux mis en place par Neosploit dans des sites légitimes pour les infecter.
Il explique qu’il s’agit d’une attaque d’une très importante, qu’elle est notable, pas seulement pour les millions de choses compromises, mais aussi par la méthode qui a permis de la découvrir. Mr Amit a travaillé avec le CERT et de nombreux services de polices dans le monde entier, d’abord pour les informer les principales organisations affectées dont les 80 000 sites web compromis. Un site important inclus dans la liste des victimes : usps.gov (site du service postal américain).
Dans cette liste de coordonnées, les sites compromis sont identifiables – et incluent des sites gouvernementaux, d’universités renommées, de sociétés du classement Fortune 500, et des organisations nationales et internationales. Certained parties affectées ont été immédiatement réagies aux avertissements cette attaque massive (les industriels de l’armement et les organisations gouvernementales).
Each dot represents a server whose FTP credentials have been compromised. There are more than 200,000 servers mapped here.
L’étendue de cette faille se constate par le fait que la majorité des cibles de cette attaque sont en Europe. Probablement parce que la majorité des utilisateurs qui ont des abonnements à ses serveurs proviennent de groupes criminels européens. Cette affirmation se base sur le fait que les serveurs internes de gestion des interfaces compromettant les serveurs FTP et de gestion d’autres processus internes ont été restreints pour configurer certaines adresse IP
Mapping the geographical locations of the IPs permitted to access internal management components on the eCrime server
Dans les 200 000 coordonnées de serveurs, près de 107 000 ont été validées par le serveur criminel, et parmi ceux ci, 82 000 ont été utilisés pour modifier le contenu web afin d’attaquer les utilisateurs de ces sites.
Les criminels n’allait pas se débarrasser des 20 000 coordonnées de serveurs, juste parce qu’ils sont forcement stockés pour une utilisation ultérieure avec d’autres organisations de cyber criminels, probablement pour de l’espionnage industriel.
Ian Amit travaille avec les autorités un peu partout dans le monde pour fournir des informations précises qui permettront de remédier au problème et de faire tomber le serveur criminel.
FRANCE
Il y a plus de 1 000 coordonnées de serveur compromis qui ont leur nom de domaine en « .fr » dont des sites personnels (lycos et free.fr), ainsi que des marques connues (tf1.fr, http://www.bouyguestelecom.fr/, 3suisses.fr, http://www.cict.fr/, http://www.ac-amiens.fr/)
Veuillez visiter la source de cet article pour voir les graphiques et statistiques MAGSECURS
Comment savoir si votre serveur en fait partie ? Domains that you would like to inquire about (free form)
Les autres nouvelles de Aladdin Security
Source de l'article : MAGSECURS (FR)