Internet est éternel. Tout comme l’infrastructure de cybercrimes.
Technologie · 4 août 2020
La neutralisation de CyberBunker par la police allemande en septembre dernier a porté un dur coup aux cybercriminels qui exploitaient les services d’hébergement intouchables du web caché de l’organisation. Pendant la perquisition, 200 serveurs de même que 2 pétaoctets de données, des cellulaires et d’importantes sommes qui auraient servi à héberger des sites web malveillants, notamment des sites d’hameçonnage et des marchés clandestins de vente de drogues, d’armes, de données volées, d’outils de piratage et d’autres biens semblables ont été saisis.
Si le démantèlement de l’infrastructure de CyberBunker a entraîné la fin des activités de nombreux sites web illicites, des analyses plus approfondies de Karim Lalji, candidat à la maîtrise du SANS Institute et membre de l’équipe TELUS Solutions de cybersécurité, ont révélé que d’importants volumes de trafic malveillant continuent de circuler.
L’organisation a été dissoute, mais le trafic continue
Dans le cadre de ses travaux de maîtrise en sécurité de l’information du SANS Institute, Karim a analysé le trafic de l’ancien espace d’adresses IP de CyberBunker, qui a été temporairement réacheminé vers un piège à pirates de SANS à des fins de recherche du 16 au 28 avril 2020.
Bien que les travaux de Karim avaient pour objectif de mieux comprendre le fonctionnement d’un fournisseur de service réseau criminel comme CyberBunker, son analyse de 37 heures d’échantillons de données randomisées recueillies grâce au piège à pirates a aussi révélé que les activités cybercriminelles automatisées intensives suivantes se poursuivaient :
trafic de zombies
trafic chiffré associé à des maliciels
sites d’hameçonnage conçus pour se faire passer pour la Banque royale du Canada, Apple, PayPal, la Chase Bank et d’autres
réseaux de publicités malveillantes qui font la promotion de contenu illicite
attaques par déni de service distribué potentielles
« Bien que ce ne soit rien de nouveau, je suis stupéfait de constater toute l’activité encore en cours près de neuf mois après la perquisition du système d’hébergement par les services policiers. Même si les serveurs ont littéralement été retirés de la propriété et désassemblés par les analystes en criminalistique, il y a encore une tonne de trafic. »
- Karim Lalji
Les recherches de Karim nous fournissent un portrait plus nuancé de la menace persistante et de la longévité d’une infrastructure de cybercrimes « démantelée ». Si vous voulez en savoir plus, cliquez sur le lien suivant pour consulter le rapport de recherche complet de Karim : SANS Institute Reading Room (en anglais).
Incidence sur vous
Compte tenu de ces résultats, Karim suggère fortement aux entreprises de prendre toutes les précautions nécessaires au moment d’acheter un espace d’adresses IP. Avant d’utiliser les adresses IP récemment achetées, prenez le temps de vérifier à qui elles ont appartenu auparavant. Comment?
Vérifiez la liste noire des adresses IP
Cette vérification peut vous indiquer si des activités malveillantes associées à cette adresse IP ont déjà été signalées. Puisque certaines infrastructures de cybercrimes sont automatisées, les hôtes fragilisés peuvent continuer de tenter de joindre l’adresse IP même si elle appartient à un nouveau propriétaire.
spamhaus.org et urlscan.io sont deux sites fiables que vous pouvez utiliser pour vérifier vos adresses IP.
Analysez le trafic
Utilisez un renifleur de paquets pour capturer et analyser le trafic qui communique avec l’adresse IP. Des signes d’activités suspectes vous avertissent que l’adresse IP a probablement déjà servi à des fins malveillantes.
Vous ne savez pas où commencer? L’équipe TELUS Solutions de cybersécurité est là pour vous aider. Que vous doutiez de l’espace d’adresse IP que vous venez d’acquérir ou que vous voulez mieux comprendre votre situation actuelle en matière de sécurité, notre équipe peut vous aider à cerner et résoudre les vulnérabilités avant qu’elles ne nuisent à votre entreprise.
Pour en savoir plus sur la protection de vos clients, employés et données, visitez telus.com/cybersecurite.
