Level 3 et Cisco s'unissent pour lutter contre un botnet sophistiqué - Actualités RT Sécurité

Level 3 et Cisco s'unissent pour lutter contre un botnet sophistiqué

le 13/04/2015, par Didier Barathon, Sécurité, 476 mots

Deux géants des télécoms et des réseaux, Level 3 et Cisco, réagissent ensemble à un groupe d'attaquants particulièrement coriaces. Ils invitent les ISP et FAI du monde entier à se joindre à eux pour, non seulement identifier, mais détruire cette attaque.

Level 3 et Cisco s'unissent pour lutter contre un botnet sophistiqué

Level 3 et le Talos Security Intelligence and Research Group, un groupe de recherche formé par Cisco, s'unissent pour contrer un groupe d'attaquants, nommé SSHPsychos (ou Groupe 93) repéré en juin 2014. Ce groupe d'attaquants utilise Secure Shell (SSH) le protocole de communication pour distribuer un bot Linux DDoS sophistiqué. Les données fournies par Level 3 ont confirmé la taille de l'attaque, qui, parfois, a représenté plus de 35% du trafic total SSH. Elle a été identifiée par le MalwareMustDie, l'an passé, Fire Eye l'a également repérée et mène une action contre lui.

Les attaquants utilisent en particulier une liste de plus de 300 000 mots de passe uniques afin de deviner les mots de passe utilisés. Cisco a remarqué au cours du premier trimestre que le nombre de tentatives d'authentification SSH du netblock utilisé par le groupe d'attaquants était plus grand que le nombre de tentatives effectuées par tous les autres hôtes combinés.
Une fois la connexion SSH réussie, l'acteur malveillant, implante le malware XOR.DDoS sur le  système de sa cible. Les chercheurs ont noté que  XOR.DDoS est différent des autres robots DDoS, car il est écrit en C / C ++ et utilise un composant rootkit pour rester implanté. Ce malware peut lancer des attaques DDoS contre une liste de cibles fournies par le serveur de commande et de contrôle (Command & Control Server), il peut également télécharger et exécuter d'autres fichiers.

Sur le même sujetSécurité : CheckPoint achète Lacoon, Singtel s'offre TrustwaveLevel 3 a bloqué ces attaques

Après avoir constaté que les alertes et les rapports publiés par des acteurs de la sécurité informatique n'ont pas découragé l'attaque, Level 3 et Cisco ont décidé d'agir et essayé de stopper ce malware. Ils ont d'abord voulu s'informer au maximum sur lui, l'ont évalué  et ont ensuite écarté les capacités de routage pour les netblocks utilisés par les cybercriminels. Ils ont même exhorté les autres opérateurs du réseau à faire de même. Level 3 a bloqué ces attaques à l'intérieur de son réseau mondial et limité la capacité du groupe de menaces pour compromettre les systèmes et les logiciels malveillants.

Ensemble, Level 3 et Cisco ont pu identifier les serveurs à partir desquels provenaient les attaques afin de les couper de leurs connexions Internet. Ils ont demandé à d'autres opérateurs de backbone de bloquer les adresses IP reconnues. En bloquant le trafic illégal, un FAI rend plus difficile et plus coûteux pour les attaquants ce type d'agression. Ces mesures ont ralenti les activités de SSHPsychos. À un moment donné, le groupe a déplacé ses  opérations et changé les malwares qu'il utilisait ainsi que les adresses IP de ses serveurs C&C. Il est probable qu'ils vont procéder à d'autres changements pour ressusciter leurs capacités DDoS.

VPN gratuit : Opera fait son come-back sur Android

Après avoir fermé en 2018 son application de tunnel privé virtuel pour iOS et Android, Opera remet finalement le couvert avec un VPN gratuit pour un usage illimité. Quand, l'an dernier, Opera a annoncé la...

le 15/02/2019, par Michael Simon, IDG NS (adapté par Jean Elyan), 167 mots

Test FastestVPN : pas vraiment le plus rapide, et alors ?

Malgré son nom, il ne faut pas s'attendre à des vitesses fulgurantes avec FastestVPN. Cependant, son prix est abordable, et sur le papier, la promesse de confidentialité est rassurante. De plus, la limite de...

le 13/02/2019, par Ian Paul, IDG NS (adapté par Jean Elyan), 969 mots

CrowdStrike Store partage son agent de protection des endpoints cloud

Le Store de CrowdStrike partagera les données recueillies par sa plate-forme de protection des endpoints basés sur le cloud afin de proposer plus d'options aux clients en limitant les problèmes de...

le 11/02/2019, par Lucian Constantin, IDG NS (adapté par Jean Elyan), 990 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »