Au cours du mois de janvier, des dizaines de serveurs web ont été piratés simultanément. L’intrus ne visait ni la gloire, ni les informations stockées sur ces serveurs. Cette offensive n’était que la première étape d’une attaque élaborée visant à installer de façon furtive des logiciels malicieux sur les ordinateurs visitant ces serveurs web. Dans cet article, nous verrons quelles ont été les modifications faites au contenu des serveurs. Nous étudierons ensuite les vecteurs d’attaques utilisés pour infecter les visiteurs et la charge active de l’attaque, c'est-à-dire le binaire qui est installé après une infection. Nous pensons que cette opération est digne de mention parce qu’elle offre un bon exemple de la nouvelle génération d’attaques que nous observons sur l’Internet. De nos jours, les attaquants veulent discrètement infecter un grand nombre de systèmes et ainsi accumuler d’importantes sommes de profit.
1. Introduction
Au début de l’année, nous avons reçu plusieurs mentions d’utilisateurs rapportant que certains sites web qu’ils visitaient tentaient d’installer des logiciels malicieux (malware) sur leurs postes de travail. Cette information s’est rapidement propagée dans les médias [1]. Après investigation, nous avons découvert que des dizaines de sites web, dispersés à travers le monde, étaient utilisés pour exploiter des vulnérabilités dans les navigateurs Internet. Lorsque l’exploitation est fructueuse, un logiciel malicieux était installé sur l’ordinateur des visiteurs. Au cours de nos recherches, nous avons identifié des serveurs piratés dans les pays suivants : Brésil, Mexique, Pakistan, Royaumes Unis, France et États-Unis.
Les serveurs utilisés pour l’attaque n’ont pas beaucoup de caractéristiques communes sauf qu’ils utilisent tous le serveur web Apache [2] sous un environnement Unix. Le contenu des sites piratés...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première