La cyber-armée iranienne se constitue un botnet
Après avoir piraté il y a deux mois un bon millier de sites web, l'auto-proclamée cyber-armée iranienne a récidivé en attaquant le mois dernier le très célèbre blog TechCrunch, spécialisé dans les actualités technologiques. Cette fois, l'objectif n'était pas de faire du bruit : les pirates avaient installé sur le site compromis un kit d'exploitation de failles, qui tentait d'infecter les visiteurs du site avec un malware. La société SecuAlert, qui a enquêté sur ce cas, vient de publier ses conclusions.
Le kit d'exploitation utilisé serait unique, assez rudimentaire même, et donc probablement issu d'un développement interne à ce groupe de pirates. Il ne s'agirait donc pas d'un kit standard, acquis sur le marché, comme Phoenix ou Eleonore. SecuAlert, qui a pu "mettre la main" sur la console d'administration de ce kit, a pu obtenir quelques statistiques d'infection, données par la console d'administration du kit : le rythme serait de 237 nouvelles infections à la minute, et de 14.074 sur une heure. SecuAlert extrapole que près de 20 millions de machines auraient pu être infectées, si le rythme constaté avait été maintenu uniformément depuis la mise en ligne de la plateforme. Cependant, le nombre réel est probablement bien moins élevé : étant donné le caractère rudimentaire de ce kit d'exploitation, il est fort probable qu'un même visiteur ait été infecté de nombreuses fois (en fait, à chaque fois qu'il affiche une page sur les sites web compromis, soit potentiellement des dizaines de fois), chaque infection venant écraser l'ancienne.
SecuAlert affirme que le botnet ne serait pour l'heure pas exploité directement ; les pirates loueraient leur infrastructure à d'autres fraudeurs, installant sur certaines parties du botnet d'autres malwares, tels que Bredolab, Gozi, et ZeuS. Le botnet pourrait cependant permettre à ce groupe de réaliser des attaques de déni de service massives.
La mutation des moyens employés par ce groupe de pirates -- passant du simple défacement de sites web à l'infection massive d'internautes à des fins criminelles.