Les sites web suivants sont sous le feu d’une attaque provenant d’un botnet :
- http://www.snai.it – SNAI (Italie)
- http://www.vierklee.com – Vierklee Wettbüro GmbH (Autriche)
- http://www.veikkaus.fi – Veikkaus Oy (Finlande)
- http://www.wsex.com – World Sports Exchange (Antigua)
- http://www.danskespil.dk – Danske Spil (Danemark)
- http://www.wir-wetten.com (Autriche)
- Plus un site pornographique : http://www.video69.ru.
L’attaque a débuté le 15 août dernier, et a brièvement stoppé le 16 dans la matinée, pour reprendre de plus belle un peu plus tard dans la journée. Aujourd’hui, soit trois jours après le début de l’attaque, les sites de jeu en ligne sont toujours indisponibles, à l’exception de wsex.com.
Cette attaque pourrait n’être « qu’une attaque de plus parmi tant d’autres » ; mais voilà, parmi les sites ciblés, le site danskespil.dk n’est pas celui de n’importe quelle entreprise puisqu’il s’agit de la société d’Etat Danske Spil, la loterie nationale danoise, actuellement en position de monopole sur son marché (mais plus pour très longtemps). On aurait imaginé que ses infrastructures informatiques étaient dimensionnées pour résister à une telle attaque.
Il semblerait que cette attaque s’appuie sur une saturation du serveur web par rejeu de requêtes consommatrices de ressources (en l’occurrence : tentatives d’authentification). Donc pas un déni de service réseau classique mais une véritable attaque applicative, beaucoup plus efficace. Le communiqué de presse officiel mentionne en effet 10 millions de tentatives d’ouvertures de session pour le samedi 15 août.
Le serveur de Command & Control (C&C) du botnet à l’origine de cette attaque (dont nous ne révélerons pas l’adresse pour d’évidentes raisons de sécurité) est opéré, sans grande surprise, sur un nom de domaine russe, lui-même hébergé sur un serveur localisé à Taiwan. Le domaine est connu depuis près de six mois pour collecter des données bancaires volées par le malware ZeuS (a.k.a PRG / Ntos / Wsnpoem / …).
Selon certains observateurs, le gang à l’origine de l’attaque serait habitué à pratiquer des dénis de service massifs ciblant pendant plusieurs jours des sites d’un même secteur d’activité. Le gang serait également lié à des noms de domaine de vente de contrefaçon de produits de luxe. Ce groupe est actif depuis plusieurs années ; en 2007, il s’était fait remarquer pour ses tentatives de recrutement de mules ; la même année, le même serveur était déjà utilisé dans des campagnes de drive-by-download à grande échelle.
Cette attaque groupée n’est pas un cas isolé : en avril dernier, nous avions travaillé sur un cas de déni de service également orienté vers de nombreux sites de l’industrie du jeu d’argent en ligne. Cette attaque était perpétrée par un botnet d’environs 100.000 machines, et ne portait pas uniquement sur la saturation des serveurs ciblés, mais sur la recherche active de vulnérabilités d’injection SQL — le déni de service lui-même servant probablement à dissimuler les tentatives d’intrusion sous une pluie de requêtes inutiles.
Contrefaçon, blanchiment, vol de données bancaires, extorsion de fonds par déni de service… Un bel exemple de petite entreprise qui ne connaît pas la crise. Les cybercriminels peuvent ainsi espérer une belle longévité, pour peu qu’ils restent du bon côté de la frontière.
auteur : Pierre Caron – Cert-Lexsi
source ZDNet.fr
