TOOLinux

Le journal du Libre

70 mille serveurs piratés au marché noir

mercredi 15 juin 2016

Les chercheurs de Kaspersky Lab ont enquêté sur un forum international où des cybercriminels peuvent acheter et vendre l’accès à des serveurs piratés pour à peine 6 dollars pièce.

Le forum xDedic, apparemment gérée par un groupe russophone, recense actuellement 70.624 serveurs RDP (Remote Desktop Protocol) piratés et à vendre. Bon nombre de ces serveurs hébergent ou donnent accès à des sites et services web très fréquentés des consommateurs et où, pour certains, sont installés des logiciels de mailing, de comptabilité financière ou de terminaux point de vente (TPV). Ils peuvent être exploités pour cibler les infrastructures de leurs propriétaires ou comme tremplin pour le lancement d’attaques plus vastes, alors que ces propriétaires, qu’il s’agisse d’administrations, d’entreprises ou d’universités, n’ont guère, voir pas du tout conscience de ce qui se passe.

xDedic est un exemple parfait d’un nouveau type de plateforme cybercriminelle, bien organisée et offrant aux petits escrocs comme aux groupes APT un accès facilité, rapide et bon marché à une infrastructure de façade pour masquer leurs méfaits le plus longtemps possible.

Comment xDedic a-t-il été découvert ?

Après qu’un fournisseur d’accès Internet (FAI) européen a alerté Kaspersky Lab sur l’existence de xDedic, les deux sociétés ont décidé d’enquêter conjointement pour étudier le fonctionnement de ce forum.

Le processus est simple et complet : les pirates pénètrent dans les serveurs, souvent par des attaques de force brute, et en communiquent les identifiants à xDedic. La configuration RDP, la mémoire, les logiciels, l’historique de navigation, … des serveurs piratés sont ainsi analysés. Autant de caractéristiques sur lesquelles les clients peuvent effectuer des recherches avant de faire leurs emplettes.

A partir de 6 dollars par serveur, les membres du forum xDedic ont accès à toutes les données d’un serveur et peuvent également utiliser celui-ci comme plate-forme pour lancer d’autres attaques (attaques ciblées, malware, DDoS, phishing, social engineering, adware, etc.).

Des attaques silencieuses

Les propriétaires légitimes des serveurs, qui sont des entités réputées telles que des administrations, des entreprises ou des universités, n’ont souvent pas connaissance du piratage de leur infrastructure informatique. En outre, une fois leur campagne malveillante menée à bien, ses auteurs peuvent remettre en vente l’accès au serveur et l’ensemble du processus peut se répéter.

La place de marché xDedic semble être en service depuis le courant de 2014 et a vu son succès monter en flèche depuis la mi-2015. En mai 2016, elle répertoriait 70 624 serveurs dans 173 pays, mis en vente par 416 vendeurs différents. Les dix principaux pays touchés sont le Brésil, la Chine, la Russie, l’Inde, l’Espagne, l’Italie, la France, l’Australie, l’Afrique du Sud et la Malaisie.

Le groupe qui se cache derrière xDedic paraît être de langue russe et prétend fournir simplement une plate-forme de transactions sans liens ni affiliations avec les vendeurs.

Que faire ?

- Installer une solution de sécurité robuste dans le cadre d’une approche complète à plusieurs niveaux de la sécurité de l’infrastructure informatique ;
- Utiliser des mots de passe forts pour le processus d’authentification sur les serveurs ;
- Mettre en œuvre une procédure de gestion continue des correctifs de sécurité ;
- Procéder régulièrement à un audit de sécurité de l’infrastructure informatique ;
- Envisager d’investir dans des services de veille pour tenir l’entreprise informée des menaces émergentes et l’aider à évaluer le niveau de risque présenté par les cybercriminels.

Source : Securelist.com