Plus de 4 000 portes dérobées contrôlées via des domaines expirés : la dangereuse réalité de la négligence numérique

EPAM annonce un accord pour acquérir NEORIS et étend ses capacités mondiales
Share on Pinterest Share on LinkedIn

Une étude récente réalisée par WatchTowr Labs et la Fondation Shadowserver a mis en lumière une vulnérabilité largement ignorée : l’utilisation de domaines expirés dans les infrastructures de malwares et les outils d’attaque. Dans un effort pour prévenir leur réutilisation malveillante, les chercheurs ont enregistré plus de 40 domaines abandonnés et ont réussi à intercepter la communication de plus de 4 000 systèmes compromis dans le monde entier, révélant l’ampleur du problème.

Les portes dérobées numériques : une menace persistante

Les portes dérobées ou « web shells » sont des outils malveillants implantés dans des systèmes compromis pour offrir un accès à distance non autorisé aux attaquants. Elles permettent d’exécuter des commandes, de gérer des fichiers ou même de lancer des attaques supplémentaires contre le système affecté.

Ce qui est le plus préoccupant, c’est que de nombreuses portes dérobées restent actives pendant des années, se connectant périodiquement à des domaines préalablement configurés par les attaquants. Lorsque ces domaines expirent, de nouvelles opportunités s’ouvrent pour que d’autres acteurs (légitimes ou non) les enregistrent et prennent le contrôle des portes dérobées.

L’étude : intercepter le contrôle des portes dérobées

Les chercheurs de WatchTowr Labs, en collaboration avec Shadowserver, ont mené une expérience destinée à explorer les implications de cette infrastructure abandonnée. Ils ont enregistré plus de 40 domaines qui contrôlaient auparavant des portes dérobées actives, en mettant en place un système d’enregistrement pour surveiller l’activité.

Résultats surprenants

Après l’enregistrement des domaines, les systèmes compromis ont commencé à se « rapporter » automatiquement aux nouveaux contrôleurs. Les données collectées ont révélé :

  • Plus de 4 000 systèmes compromis tentant de se connecter.
  • Des portes dérobées sur des serveurs gouvernementaux de pays tels que la Chine, le Nigeria et le Bangladesh.
  • Des systèmes affectés dans des universités de Thaïlande, de Corée du Sud et de Chine.

Parmi les outils identifiés, certains sont notoires, tels que :

  • r57shell et c99shell : connus pour leur fonctionnalité avancée, y compris la force brute, l’exécution de commandes et la gestion de fichiers.
  • China Chopper : un outil populaire parmi des groupes avancés de menaces persistantes (APT).

Implications des découvertes

L’étude souligne un problème clé dans la cybersécurité moderne : le manque de gestion d’infrastructures abandonnées par les attaquants. Ces portes dérobées abandonnées pourraient être facilement réutilisées par de nouveaux cybercriminels pour accéder à des systèmes précédemment compromis, le tout pour le coût minimal d’enregistrer un domaine.

Problèmes identifiés

  1. Infrastructure réutilisable : Les attaquants peuvent tirer parti du travail préalable d’autres hackers simplement en enregistrant des domaines expirés.
  2. Compromission de systèmes sensibles : La présence de portes dérobées dans des systèmes gouvernementaux et éducatifs souligne le manque de contrôles efficaces dans les infrastructures critiques.
  3. Impact global : Les systèmes compromis ne se limitent pas à un seul secteur ou région, démontrant la nature généralisée de ce problème.

Une solution proactive : le rôle de Shadowserver

Après avoir identifié les systèmes compromis, WatchTowr a transféré le contrôle des domaines enregistrés à la Fondation Shadowserver. Cette organisation à but non lucratif se consacre à la sécurité sur Internet et est actuellement en train de « noyer » tout le trafic des systèmes affectés vers ses propres serveurs, empêchant ainsi qu’ils ne tombent de nouveau entre de mauvaises mains.

L’avenir de la cybersécurité et des infrastructures abandonnées

Ce cas souligne l’importance de gérer de manière responsable les infrastructures numériques, même celles utilisées à des fins malveillantes. La réutilisation de domaines expirés ne pose pas seulement des risques pour les systèmes compromis, mais révèle également un manque de sensibilisation à ce problème.

Recommandations clés

  1. Surveillance continue : Les entreprises et les gouvernements doivent réaliser des audits réguliers pour identifier les portes dérobées potentielles et autres vulnérabilités.
  2. Gestion des domaines : Assurer que les domaines précédemment utilisés, même dans des expériences de sécurité, soient gérés adéquatement pour éviter leur réutilisation.
  3. Collaboration globale : La coopération entre des organisations comme WatchTowr et Shadowserver démontre l’importance de travailler ensemble pour atténuer les risques.

Conclusion

La découverte de plus de 4 000 portes dérobées actives connectées à des domaines expirés met en évidence une grave vulnérabilité dans la sécurité numérique actuelle. Ce type de recherches souligne la nécessité de s’attaquer non seulement aux menaces actives, mais aussi aux infrastructures qui, bien qu’abandonnées, continuent de représenter un risque significatif. La collaboration proactive et l’utilisation responsable de ces données seront essentielles pour renforcer la cybersécurité mondiale.

via : watchtowr et Bleeping computing

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

Tata Communications lance Vayu, son nouveau cloud intelligent pour les entreprises, avec une économie allant jusqu’à 30 %.

Les processeurs ARM : des mobiles à la domination du monde technologique

Intel stimule l’intelligence artificielle à la périphérie avec un écosystème ouvert et de nouvelles solutions.

Les nouvelles capacités de Confluent Cloud pour Apache Flink® simplifient le développement de l’IA en temps réel.

La Chine protège les créateurs de DeepSeek et ravive la guerre froide technologique avec les États-Unis

Virtual Cable lance UDS Enterprise 4.0 Premium avec support 24×7 et outils avancés pour environnements numériques.

© Copyright 1995-2024 Color Vivo Internet SLU. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.