Level 3 et Cisco s'unissent pour lutter contre un botnet sophistiqué - Actualités RT Sécurité

Level 3 et Cisco s'unissent pour lutter contre un botnet sophistiqué

le 13/04/2015, par Didier Barathon, Sécurité, 476 mots

Deux géants des télécoms et des réseaux, Level 3 et Cisco, réagissent ensemble à un groupe d'attaquants particulièrement coriaces. Ils invitent les ISP et FAI du monde entier à se joindre à eux pour, non seulement identifier, mais détruire cette attaque.

Level 3 et Cisco s'unissent pour lutter contre un botnet sophistiqué

Level 3 et le Talos Security Intelligence and Research Group, un groupe de recherche formé par Cisco, s'unissent pour contrer un groupe d'attaquants, nommé SSHPsychos (ou Groupe 93) repéré en juin 2014. Ce groupe d'attaquants utilise Secure Shell (SSH) le protocole de communication pour distribuer un bot Linux DDoS sophistiqué. Les données fournies par Level 3 ont confirmé la taille de l'attaque, qui, parfois, a représenté plus de 35% du trafic total SSH. Elle a été identifiée par le MalwareMustDie, l'an passé, Fire Eye l'a également repérée et mène une action contre lui.

Les attaquants utilisent en particulier une liste de plus de 300 000 mots de passe uniques afin de deviner les mots de passe utilisés. Cisco a remarqué au cours du premier trimestre que le nombre de tentatives d'authentification SSH du netblock utilisé par le groupe d'attaquants était plus grand que le nombre de tentatives effectuées par tous les autres hôtes combinés.
Une fois la connexion SSH réussie, l'acteur malveillant, implante le malware XOR.DDoS sur le  système de sa cible. Les chercheurs ont noté que  XOR.DDoS est différent des autres robots DDoS, car il est écrit en C / C ++ et utilise un composant rootkit pour rester implanté. Ce malware peut lancer des attaques DDoS contre une liste de cibles fournies par le serveur de commande et de contrôle (Command & Control Server), il peut également télécharger et exécuter d'autres fichiers.

Sur le même sujetSécurité : CheckPoint achète Lacoon, Singtel s'offre TrustwaveLevel 3 a bloqué ces attaques

Après avoir constaté que les alertes et les rapports publiés par des acteurs de la sécurité informatique n'ont pas découragé l'attaque, Level 3 et Cisco ont décidé d'agir et essayé de stopper ce malware. Ils ont d'abord voulu s'informer au maximum sur lui, l'ont évalué  et ont ensuite écarté les capacités de routage pour les netblocks utilisés par les cybercriminels. Ils ont même exhorté les autres opérateurs du réseau à faire de même. Level 3 a bloqué ces attaques à l'intérieur de son réseau mondial et limité la capacité du groupe de menaces pour compromettre les systèmes et les logiciels malveillants.

Ensemble, Level 3 et Cisco ont pu identifier les serveurs à partir desquels provenaient les attaques afin de les couper de leurs connexions Internet. Ils ont demandé à d'autres opérateurs de backbone de bloquer les adresses IP reconnues. En bloquant le trafic illégal, un FAI rend plus difficile et plus coûteux pour les attaquants ce type d'agression. Ces mesures ont ralenti les activités de SSHPsychos. À un moment donné, le groupe a déplacé ses  opérations et changé les malwares qu'il utilisait ainsi que les adresses IP de ses serveurs C&C. Il est probable qu'ils vont procéder à d'autres changements pour ressusciter leurs capacités DDoS.

Frappé par une faille, Zoom bétonne la sécurité de sa webconférence

Affectant dans un premier temps les utilisateurs de la version macOS pour poste de travail, la vulnérabilité de l'application de webconférence Zoom s'est étendu aux solutions RingCentral et Zhumu. Pour...

le 16/07/2019, par Matthew Finnegan, Computerworld (adapté par Dominique Filippone), 1795 mots

Cisco émet trois avis de sécurité critiques pour DNA Center

Trois problèmes de sécurité sérieux signalés par Cisco concernent Data Center Network Manager (DCNM). L'équipemntier a livré des mises à jour logicielles gratuites corrigeant les vulnérabilités décrites dans...

le 01/07/2019, par Michael Conney, Network World (adapté par Jean Elyan), 725 mots

Mirai essaye d'étendre son emprise au SD-WAN

Après les périphériques connectés, le malware Mirai s'attaque aujourd'hui aux équipements SD-WAN pour accroitre la portée de ses attaques. Mirai, le malware qui a détourné des centaines de milliers d'appareils...

le 18/06/2019, par Jon Gold, IDG NS (adapté par Jean Elyan), 531 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...