Le gouvernement américain accuse l'Iran de cyberattaques contre les banques américaines
Avec: Itsoknoproblembro et les bRobots
Par John Leyden
Publié le 9 janvier 2013 Les attaques par déni de service contre les systèmes web des banques américaines ont été l'œuvre de l'Iran plutôt que des activistes islamistes, selon un ancien responsable du gouvernement américain.
Un groupe appelé Izz ad-Din al-Qassam Cyber Fighters a revendiqué deux vagues de cyberattaques contre des banques américaines, notamment US Bancorp, la Banque d'Amérique, Citigroup et Wells Fargo, qui ont eu lieu en septembre et en décembre. La raison invoquée pour les attaques de «protestation» était l'indignation religieuse face à la présence continue sur YouTube de la vidéo Innocence des Musulmans sur YouTube.
James A Lewis du Centre d'études stratégiques et internationales à Washington a déclaré au New York Times que les attaques étaient en fait l'œuvre de l'Iran, plutôt que des hacktivistes indignés. Il estime que le but était en réalité des représailles sur le déploiement de Stuxnet et d'autres cyber-armes contre l'Iran ainsi que des sanctions économiques.
Les chercheurs en sécurité d'Arbor Networks ont conclu le mois dernier que, dans les deux cas, le trafic d'attaques a été lancé à partir de sites Web non sécurisés plutôt que de PC infectés par des logiciels malveillants. Des applications Web PHP compromises et une installation Wordpress non sécurisée ont été mises en service dans le cadre d'un botnet de serveur Web PHP, contrôlé par des outils tels que bRobot.
L'habileté à rassembler les attaques ainsi que l'utilisation de ressources basées sur le serveur a apparemment convaincu le gouvernement américain qu'une entité parrainée par l'état, à savoir l'Iran, plutôt que des hacktivistes sont derrière les attaques. "" Il n'y a aucun doute au sein du gouvernement américain que l'Iran est derrière ces attaques ", a déclaré Lewis, un ancien fonctionnaire dans les départements d'Etat et de commerce, au NYT Lewis souligne le volume de trafic impliqué dans les attaques des banques américaines. fois "le montant que la Russie a dirigé vers l'Estonie en 2007) en essayant de justifier ses arguments, mais comme le souligne le NYT" les responsables américains n'ont offert aucune preuve technique pour étayer leurs affirmations ".
Les fournisseurs de sécurité sont en mesure de dire que les attaques contre les banques américaines sont assez sophistiquées, mais ne peuvent pas identifier qui les a développées. "L'ampleur, la portée et l'efficacité de ces attaques ont été sans précédent", a déclaré Carl Herberger, vice-président des solutions de sécurité à la société de sécurité israélienne Radware, a déclaré le NYT. "Il n'y a jamais eu autant d'institutions financières sous cette contrainte."
Les chercheurs de Radware ont découvert que les services de cloud et les serveurs d'hébergement Web publics * avaient été infectés par une variété de logiciels malveillants, appelée Itsoknoproblembro. "Le malware existe depuis des années, mais les attaques bancaires ont été les premières à utiliser des centres de données pour attaquer des victimes externes", rapporte le NYT, ajoutant que Itsoknoproblembro a été conçu pour être difficile voire impossible à retracer aux systèmes de commandement et de contrôle. Les attaquants ont utilisé des serveurs infectés pour dégorger le trafic d'attaque sur chaque site bancaire jusqu'à ce qu'il ralentisse ou s'effondre, selon Radware. Le trafic d'attaque de pointe contre les banques américaines atteint 70 Gbps.
Une entrée sur le site Web de Radware que Itsoknoproblembro est un outil de piratage basé sur PHP qui a été récemment personnalisé pour servir dans les attaques DDoS.
L'outil 'itsoknoproblembro' a été conçu et implémenté comme un script PHP généraliste injecté dans la machine d'une victime permettant à l'attaquant de télécharger et d'exécuter des scripts Perl arbitraires sur la machine de la cible.
Le script 'itsoknoproblembro' injecte une charge utile cryptée, afin de contourner les passerelles IPS et Malware dans le fichier principal du site index.php, permettant à l'attaquant de télécharger de nouveaux scripts Perl à tout moment.
L'infection initiale du serveur est généralement effectuée à l'aide de la technique RFI (Remote File Inclusion) bien connue. En téléchargeant des scripts Perl qui exécutent différents vecteurs d'inondation DOS, le serveur peut agir comme un bot dans une armée de botnets DDOS.
Bien que conçues à l'origine pour un usage général, certaines variantes de cet outil trouvées dans la nature ont été personnalisées pour agir comme un outil DDOS propriétaire, implémentant les logiques de vecteur d'inondation à l'intérieur sans avoir besoin de télécharger des scripts supplémentaires.
La société de services de protection DDoS Prolexic a lancé une série de règles SNORT et un outil d'analyse de log pour se défendre contre itsoknoproblembro la semaine dernière.
Il lie également la menace aux attaques contre le secteur bancaire américain. Mais l'outil a également été utilisé contre les industries des fournisseurs d'énergie et d'hébergement. "Les vecteurs d'attaque incluent les inondations POST, GET, TCP et UDP, avec et sans proxy, y compris un script flood Kamikaze GET qui peut relancer à plusieurs reprises les attaques automatisées", selon une déclaration de Prolexic.
L'utilisation d'un système basé sur le cloud pour lancer des attaques de déni de service plutôt que des réseaux de botnets de PC compromis montre que celui qui se cache derrière les attaques suit les dernières tendances technologiques. Ce n'est guère la preuve d'une implication de l'État, du moins par lui-même. Il n'y a rien dans ce que Prolexic, Radware ou Arbor disent pour suggérer la dernière attaque néanmoins, des responsables du renseignement américains non identifiés semblent catégoriques sur le fait que les cyber-combattants Izz ad-Din al-Qassam sont en fait une couverture pour l'Iran. Les serveurs WebBootnoteInfected sont appelés bRobots par Radware et Prolexic. Cette convention de nommage différencie les serveurs panés des PC compromis (zombies, bots ou drones) dans les réseaux de botnet conventionnels.
REF.: