Le groupe d'hacktivistes baptisé New World Hackers serait-il derrière les attaques contre Dyn ?
Le groupe a revendiqué les attaques sur Twitter

Le , par Olivier Famien, Chroniqueur Actualités
Vendredi dernier, le fournisseur de services informatiques Dyn a essuyé plusieurs vagues d’attaques rendant parfois inaccessibles les adresses internet de ses clients à partir de certains points des États-Unis et de l’Europe. En cause, le malware Mirai qui avait déjà été utilisé dans des attaques contre OVH, le fournisseur français de services internet et d’hébergement, et contre le blog de Brian Krebs, le chercheur en sécurité informatique où l’on a noté que le site fut bloqué par une attaque DDoS qui faisait converger 620 milliards de bits de données par seconde vers le site.

Dans les dernières attaques contre Dyn, des dizaines de millions d’adresses IP et plus de 500 000 appareils ont été utilisés pour tenter de mettre à terre les infrastructures de Dyn. La prompte réaction de Dyn conjuguée avec le soutien des partenaires de la communauté technologique a permis d’endiguer ces attaques qui ont déferlé sur les infrastructures du fournisseur américain du service DynDNS.

Le problème ayant été surmonté, les regards sont maintenant tournés vers les acteurs et les facteurs impliqués dans ces attaques. À ce sujet, il n'a pas fallu longtemps pour que XiongMai Technologies, un fournisseur chinois de caméras connectées et d’enregistreurs DVR reconnaisse ouvertement que ses produits ont par inadvertance joué un rôle dans les attaques qui ont perturbé les principaux sites internet aux États-Unis vendredi dernier.

Par ailleurs, l'on constate que généralement les motivations des acteurs malveillants dans ce genre de forfaits sont soit la méchanceté gratuite, soit l’argent. Mais pour cette fois, ce ne serait pas l’argent selon les propos des personnes revendiquant les attaques. En effet, au lendemain des attaques, un groupe d’hacktivistes baptisé New World Hackers a revendiqué sur Twitter la responsabilité de ces attaques en expliquant que le groupe n'est pas motivé par le gain financier et n'a rien de personnel contre Dyn, Twitter ainsi que les autres sites affectés par les attaques.

Comme raisons avancées pour justifier ces attaques, le groupe explique sur le site de microblogging que c’était pour prendre du plaisir en ajoutant qu’il s’agissait d’un « test annuel de puissance ». Un des membres du groupe nommé Prophet aurait également confié à l’agence de presse américaine AP News qu’ils ont organisé des réseaux d’objets connectés pour créer un bot qui envoyait environ 1,2 trillion de bits de données par seconde vers les serveurs de Dyn, bien que ces chiffres n’aient pas été confirmés par Dyn. Par ailleurs, AP News rapporte que le groupe envisage comme prochaine étape de s’attaquer au gouvernement russe pour avoir été accusé d’être impliqué dans les cyberattaques contre les États-Unis un peu plus tôt cette année.

Il faut noter également que le groupe n’en est pas à son premier acte de sabotage. Il a déjà par le passé revendiqué la paternité d’attaques similaires contre l’État islamique d’Irak et de Syrie ainsi que des attaques contre les sites ESPN.com en septembre dernier et BBC le 31 décembre passé. Enfin, AP News rapporte que le groupe New World Hackers est composé d’une trentaine de personnes réparties en Chine, en Russie et en Inde.

Du côté des autorités américaines, les investigations sont toujours en cours afin de trouver les coupables derrière les attaques.

Source : Twitter, AP News, CBS News

Et vous ?

Pensez-vous que New World Hackers soit responsable de ces attaques ?

Voir aussi

Des hackers ont détourné des centaines de caméras de surveillance pour mener des attaques DDoS en utilisant l'outil dédié LizardStresser

La Rubrique sécurité, Forum sécurité, Cours et turoriels sécurtité, FAQs Sécurtié


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 25/10/2016 à 12:10
DDoS contre Dyn : XiongMai rappelle ses produits susceptibles d’avoir été piratés
mais la Chine menace de poursuivre les accusateurs en justice

Le vendredi 21 octobre, une attaque DDoS de grande ampleur lancée contre les services de Dyn, un fournisseur de service DNS, a paralysé une grande partie du réseau internet sur la côte Est des États-Unis avec des répercussions enregistrées en Europe. Cette vaste attaque a été lancée par un réseau de plusieurs millions d’appareils piratés dont des caméras de surveillance et autres objets connectés détournés par Mirai, un logiciel malveillant qui permet la création de botnets d’objets connectés pour lancer des attaques de déni de service.

Pour rappel, Mirai se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.

En ce qui concerne les appareils utilisés dans cette attaque contre Dyn, XiongMai Technologies, un fournisseur chinois de caméras connectées et d’enregistreurs numériques a reconnu que certains de ses produits ont été impliqués après avoir été détournés par Mirai.

Les chercheurs en sécurité ont ensuite accusé l’entreprise chinoise d’avoir expédié des produits qui présentent des erreurs de sécurité basiques, et qui les rendent plus faciles à pirater par Mirai. D’après de nombreux rapports, les dispositifs du fabricant chinois de composants électroniques constitueraient également la majeure partie des dispositifs utilisés pour lancer l’attaque DDoS contre le fournisseur de service DNS.

Dans un communiqué publié sur son blog officiel, XiongMai Technologies dément le fait que ses dispositifs étaient majoritairement utilisés dans l’attaque contre Dyn, et explique au passage que le véritable problème, c’est plutôt les utilisateurs qui ne changent pas les mots de passe par défaut. Le fabricant chinois affirme également que seuls les appareils vendus aux États-Unis avant avril 2015 sont vulnérables. La société affirme en fait qu’en avril 2015, ses ingénieurs ont déployé une nouvelle mise à jour du firmware qui rend l'exploitation de ses appareils par le malware Mirai impossible. Elle a donc décidé de rappeler ses dispositifs vendus aux États-Unis avant cette date. Il s’agit principalement de modèles de webcams que le fabricant va rappeler. La firme prévoit par ailleurs de renforcer les fonctions de mots de passe sur ses produits.

En principe, le malware Mirai qui est utilisé pour créer les botnets peut être effacé par un simple redémarrage des dispositifs affectés. Mais le risque qu’ils soient affectés à nouveau est élevé avec de nombreux appareils piratés connectés à internet. Il faudrait donc qu’une protection plus sure qu’un simple redémarrage soit mise en place. Pendant ce temps, le ministère chinois de la Justice menace d'engager des poursuites judiciaires contre les médias, les organisations ou individus qui, selon le gouvernement chinois, font de « fausses déclarations » contre la société. Il fait notamment allusion au fait que certains indexent XiongMai comme étant la principale source des dispositifs non sécurisés qui ont été utilisés dans l’attaque.

Sources : The Guardian, Krebs on Security
Avatar de chrtophe chrtophe - Responsable Systèmes https://www.developpez.com
le 26/10/2016 à 7:38
Les objets connectés sont un vrai problème. Comment voulez-vous que le quidam gère la sécurité sur un téléviseur, un frigo, le jouet du gosse ? etc.
Avatar de bclinton bclinton - Membre habitué https://www.developpez.com
le 26/10/2016 à 9:32
Les produits ne devraient pas pouvoir être mis en service sans modification préalable par l'utilisateur du mot de passe par défaut.

Cette faille est très connue parce que très répandue. On sait qu'un grand nombre d'utilisateurs laisse le mot de passe défini en usine par le constructeur.
Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 26/10/2016 à 14:22
L’attaque DDoS contre Dyn ne serait pas l’œuvre d'un État
d’après les premières conclusions des États-Unis

Le weekend dernier a commencé par une attaque DDoS de grande ampleur lancée contre les services de Dyn, un fournisseur de service DNS. Cette attaque a paralysé une bonne partie du réseau internet des États-Unis avec des répercussions enregistrées en Europe. Considérée comme l’une des plus grandes attaques jamais enregistrées, l’attaque DDoS contre Dyn est venue de plusieurs millions d’adresses IP et s’est appuyée sur des centaines de milliers de dispositifs connectés.

L’envergure de cette attaque a suscité des interrogations chez les autorités américaines qui ont décidé de mener des investigations sur son origine, pensant surtout à une manœuvre d’un pays comme la Russie ou la Chine.

La Russie, parce que le pays a été récemment accusé par les USA d’être l’auteur de plusieurs attaques contre les Américains. Au début du mois d’octobre, l’administration Obama a en effet formellement accusé le gouvernement russe d’être impliqué dans le vol de milliers d’emails. Le directeur US du renseignement national et le chef du département de la sécurité intérieure ont également affirmé être « convaincus » de l’implication du gouvernement russe dans des cyberattaques liées à la campagne présidentielle américaine constatées au cours des derniers mois. Ces attaques ciblaient le Democratic National Committee (DNC), la plus haute instance du Parti démocrate, ainsi que les services chargés des listes électorales dans plusieurs États, dont l’Arizona et l’Illinois.

Mais, il y avait également des raisons de penser que la Chine soit impliquée à cause des antécédents du pays, mais surtout après que le fournisseur chinois XiongMai a avoué que ses appareils ont été détournés pour lancer l’attaque. XiongMai a décidé de rappeler ses produits vulnérables, alors que les médias et certains chercheurs en sécurité accusaient l’entreprise d’être la principale source des dispositifs non sécurisés qui ont été utilisés dans l’attaque. Il faut également noter qu’avec l’aveu du fabricant chinois de composants électroniques, c’était également l’occasion pour certains d’indexer implicitement la Chine, ce qui aurait poussé le ministère chinois de la Justice à se saisir de l’affaire, en menaçant de poursuivre tous les accusateurs occidentaux en justice.

Pendant ce temps, le groupe de hackers baptisé New World Hackers a revendiqué l’attaque DDoS contre Dyn, en expliquant qu’il s’agissait d’un « test de puissance » pour préparer une attaque contre la Russie, accusée d’être impliquée dans les cyberattaques contre les États-Unis. Le groupe, qui serait composé d’une trentaine de personnes réparties en Chine, en Russie et en Inde, a déjà par le passé revendiqué des attaques similaires contre l’État islamique de l’Irak et de la Syrie.

Si New World Hackers est vraiment à l’origine de cette attaque, on peut se demander s’il est parrainé par un État particulier. Mais vu son intention d’attaquer la Russie, on pourrait affirmer qu’il n’est pas parrainé par l’État russe. Il semble d’ailleurs que l’attaque ne serait liée à aucun État, d’après James Clapper, le coordinateur du renseignement américain.

Au cours d'une conférence du centre de recherche Council on Foreign Relations (CFR), celui qui chapeaute toutes les agences américaines du renseignement a été interrogé par le modérateur pour savoir si l’attaque a été lancée par un acteur non étatique. « L’enquête est toujours en cours. Il y a beaucoup de données à amasser », a-t-il répondu dans un premier temps. Il finit toutefois par lâcher le morceau quand la question lui a été posée pour la deuxième fois et avoue que les premières conclusions tendent à faire croire qu’il ne s’agit pas d’un État. « Oui », a-t-il répondu lorsque la question lui a été posée à nouveau. « Mais je ne voudrais pas conclure de façon définitive là-dessus. C’est une première estimation ». Et de poursuivre : « Nous avons ce contraste entre les cyberacteurs les plus sophistiqués, du niveau des États, qui sont clairement la Chine et la Russie, mais qui ont peut-être des intentions plus bénignes. Et puis vous avez d’autres pays qui ont des intentions plus néfastes. Et ensuite arrivent les acteurs non-étatiques qui sont encore plus malsains ».

Sources : L’Express, CBS News

Et vous ?

Qu’en pensez-vous ?
Avatar de Stéphane le calme Stéphane le calme - Chroniqueur Actualités https://www.developpez.com
le 31/10/2016 à 11:43
Un bogue dans le code source de Mirai pourrait permettre de mettre fin aux attaques par inondation HTTP,
première piste de défense active

Il y a quelques semaines, le code source de Mirai a été publié. Depuis, les attaques s’appuyant sur le logiciel malveillant, capable de créer des réseaux de zombies d’objets connectés pour lancer des attaques DDoS, se sont multipliées. Certaines ont été couronnée de succès, comme l’attaque qui a frappé Dyn, un fournisseur de service DNS, qui a entraîné la perturbation de l’accès à de nombreux sites internet populaires en termes de trafic pendant des heures (PayPal, Twitter, GitHub, Netflix, Spotify, pour ne citer que ceux-là).

Le weekend dernier, Scott Tenaglia, le directeur de la recherche chez Invincea, a expliqué que le laboratoire s’est lancé dans l’étude de ce logiciel malveillant pour en exposer les failles : « les attaquants exploitent souvent de failles dans les logiciels pour installer leurs outils sur les systèmes. Lorsque ces outils sont sur des dispositifs IdO, les choses deviennent plus compliquées parce que les attaquants ont accès à plus de dispositifs que nous. Alors pourquoi ne pas utiliser leur propre stratégie contre eux ? ». « C’est la première d’une série de publications qui va exposer les vulnérabilités de Mirai et montrer comment s’en servir pour stopper les attaques », a-t-il promis.

Pour commencer, il estime qu’il est important de comprendre comment Mirai initialise une attaque afin de comprendre les implications de l'exploitation des vulnérabilités dans le code d'attaque. Ci-dessous le code de la fonction attack_start() telle qu’écrite dans bot/attack.c :

Code C : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
void attack_start(int duration, ATTACK_VECTOR vector, uint8_t targs_len, struct attack_target *targs, uint8_t opts_len, struct attack_option *opts) 
  { 
      int pid1, pid2; 
  
      pid1 = fork(); 
      if (pid1 == -1 || pid1 > 0) 
          return; 
  
      pid2 = fork(); 
      if (pid2 == -1) 
         exit(0); 
     else if (pid2 == 0) 
     { 
         sleep(duration); 
         kill(getppid(), 9); 
         exit(0); 
     } 
     else 
     { 
         int i; 
  
         for (i = 0; i < methods_len; i++) 
         { 
             if (methods[i]->vector == vector) 
             { 
 #ifdef DEBUG 
                 printf("[attack] Starting attack...\n"); 
 #endif 
                 methods[i]->func(targs_len, targs, opts_len, opts); 
                 break; 
             } 
         } 
  
         //just bail if the function returns 
         exit(0); 
     } 
 }

Les lignes 5 à 7 font un fork d’un processus enfant qui sera responsable de l'attaque. Les lignes 9 à 16 font un fork d’un autre processus enfant qui va arrêter l'attaque après la durée spécifiée, simplement en la mettant en sommeil sur cette durée puis en terminant le processus parent lorsqu’il tente de s’exécuter à nouveau. Enfin, le processus d'attaque appelle le gestionnaire de fonction correcte pour l'attaque spécifiée (lignes 22 à 32), puis effectue un exit (ligne 35). Cela signifie que si le processus d'attaque se bloque, alors l'attaque s'arrêtera mais le bot lui-même restera fonctionnel.

Par la suite le chercheur indique avoir trouvé une vulnérabilité stack buffer overflow dans le code de l’attaque par inondation HTTP. Lorsque cette vulnérabilité est exploitée, elle va provoquer un « signal de violation de segmentation » (SIGSEGV, un signal envoyé à un processus lorsque celui-ci fait référence à une zone de mémoire invalide, par exemple parce qu'elle ne lui appartient pas. Une interruption est alors déclenchée et interrompt le programme). Le SIGSEGV va donc interrompre le processus et par conséquent arrêter l’attaque du bot. « La vulnérabilité du code est tributaire de la façon dont Mirai traite l'emplacement en-tête HTTP qui peut faire partie de la réponse HTTP envoyée depuis une requête d’inondation HTTP », explique-t-il. Elle réside dans la fonction attack_app_http () du bot / attack_app.c, et se présente comme suit :

Code C : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
int offset = util_stristr(generic_memes, ret, table_retrieve_val(TABLE_ATK_LOCATION_HDR, NULL)); 
  if (generic_memes[offset] == ' ') 
      offset++; 
  
  int nl_off = util_memsearch(generic_memes + offset, ret - offset, "\r\n", 2); 
  if (nl_off != -1) 
  { 
      char *loc_ptr = &(generic_memes[offset]); 
  
     if (nl_off >= 2) 
         nl_off -= 2; 
     generic_memes[offset + nl_off] = 0; 
  
     //increment it one so that it is length of the string excluding null char instead of 0-based offset 
     nl_off++; 
  
     if (util_memsearch(loc_ptr, nl_off, "http", 4) == 4) 
     { 
         //this is an absolute url, domain name change maybe? 
         ii = 7; 
         //http(s) 
         if (loc_ptr[4] == 's') 
             ii++; 
  
        memmove(loc_ptr, loc_ptr + ii, nl_off - ii);

Pour commencer, supposons que l’en-tête de l’emplacement est quelque chose de simple comme http://google.com\r\n.

Les lignes 1 à 3 du code ci-dessus cherchent l’emplacement de l'en-tête de l'emplacement et mette l’indice du début d l’URL (notamment le caractère “h”) dans la variable offset. Ensuite, les lignes 5 à 15 s’occupent de mettre l’index “\ r \ n” qui termine l’URL dans la variable nl_off. Tenagila précise qu’il est important de noter qu’il s’agit d’un index de base zéro (une façon de numérotage qui voudrait que le premier élément d’une séquence soit associé à “0” au lieu de “1”. L’élément initial dans ce cas est donc appelé “élément zéro” au lieu de “premier élément”) de l’URL et PAS du début de l’emplacement de l’en-tête ou du buffer generic_memes.

Dans la ligne 25, l’appel de memmove tente d’enlever le "http: //" de l'URL en déplaçant simplement ce qui vient après vers la gauche de 7 caractères. C’est la raison pour laquelle la variable ii est fixée à 7 sur la ligne 20. Dans le cas que nous étudions, nl_off vaut 18, ce qui signifie que le paramètre len de memmove est 11 (nl_off - ii, soit 18 - 7).

Code C : Sélectionner tout
memmove(loc_ptr, loc_ptr + 7, 11);

Ce qui contribue à déplacer “google.com” (une chaîne de 10 caractères plus un caractère de fin de chaîne) vers la gauche de 7 caractères. Cependant, si l’entête de location était http\r\n. Alors nl_off vaut 5, ce qui signifie que le paramètre lenvaut -2 (nl_off - ii, soit 5 - 7). Étant donné que le paramètre len est traité comme un entier non signé (à savoir de type size_t), alors -2 sera traité comme un entier positif très large, 0xFFFFFFFE. Par conséquent, memmove va inonder le buffer generic_memes et corrompre une bonne partie de la mémoire.

Pour vérifier leur supposition, les chercheurs se sont servi de trois machines virtuelles où Mirai a été déployé et le programme a effectivement reçu un SIGSEGV comme le montre le montre la capture d’écran ci-dessous.


« Ce simple “exploit” est un exemple de défense active contre un botnet IdO pouvant être utilisé par tout service d’atténuation d’attaque DDoS pour se défendre contre une attaque Mirai par inondation HTTP en temps réel », a conclu Tenaglia. Il prévient toutefois que « bien qu’il ne peut pas être utilisé pour enlever le bot d’un dispositif IdO, il peut être utilisé pour stopper l’attaque en provenance de ce dispositif ».

Il regrette néanmoins que cet exploit ne soit spécifique qu’aux attaques par inondation HTTP et n’aurait donc pas pu servir à défendre Dyn. Quoiqu’il en soit, d’autres publications dans ce sens sont attendues.

Mirai est l’une des plus dangereuses familles de botnets avec plus de 791 000 zombies à sa disposition et uniquement sur le port 23 d’après des statistiques de Qihoo 360.


Source : blog Invincea, Qihoo 360
Avatar de marsupial marsupial - Membre chevronné https://www.developpez.com
le 31/10/2016 à 12:01
De mon point de vue, si je mets la sécurité cela les rend invulnérable.

Bon, il va falloir isoler et nettoyer relativement vite. Avant de blinder.
Avatar de BufferBob BufferBob - Expert éminent https://www.developpez.com
le 31/10/2016 à 12:07
donc en clair on a un chercheur en sécurité qui a trouvé -ô exploit- un overflow dans le code moisi d'un botnet, autant dire qu'il bosse dur
et avec cette vuln on peut désormais stopper le botnet... ou en prendre le contrôle pour avoir un botnet encore plus grand, tout dépend qui arrive en premier sur la machine avec son sploit
Avatar de codec_abc codec_abc - Membre averti https://www.developpez.com
le 31/10/2016 à 12:40
Est-ce vraiment utile ? Parce que l'information a été rendu publique. Il suffit pour les pirates de recompiler le code avec le bug fix. Et donc cette méthode de défense active tombe à l'eau...
Avatar de marsupial marsupial - Membre chevronné https://www.developpez.com
le 31/10/2016 à 22:18
Citation Envoyé par chrtophe Voir le message
Les objets connectés sont un vrai problème. Comment voulez-vous que le quidam gère la sécurité sur un téléviseur, un frigo, le jouet du gosse ? etc.
Une appli sur smartphone en 'boucle locale' ?
Avatar de BufferBob BufferBob - Expert éminent https://www.developpez.com
le 01/11/2016 à 11:52
Citation Envoyé par marsupial Voir le message
Une appli sur smartphone en 'boucle locale' ?
la boucle locale c'est ce qu'on appelle en anglais le "loopback", et par définition ça ne sort pas de la carte réseau, peu de chances d'atteindre le micro-onde donc

je pense que chrtophe devait plus probablement faire référence au fait que le quidam n'y connait rien à la sécurité, donc même si on lui donne une interface c'est pas ce qui lui donnera les bons réflexes à avoir ou changera ses habitudes
Contacter le responsable de la rubrique Accueil