Spécial sécurité : quand Google et Bing jouent aux pirates

Aujourd'hui, nos confrères de CNIS, magazine spécialisé en sécurité des systèmes d'information, se penchent sur les activités criminelles (réseaux de machines zombies) qui prospèrent à l'ombre des grands services Internet, comme ceux de Google, de Microsoft (le moteur Bing) ou du registrar Network Solution.

Sommaire
1 - Quand Google et Bing jouent aux pirates 

2 - Network Solution joue au botnet 

1) Quand Google et Bing jouent aux pirates 

Si l’infection des mécanismes de création des pages-parking de Network Solution (voir ci-dessous) est une « première » dans l’art de la diffusion de malwares, cela ne diminue en rien l’opiniâtreté des « black hats » qui, sans cesse, cherchent à profiter des grands réseaux du Web Deuzéro pour s’en servir de relais. Les attaques en ingénierie sociale ou les coups de Jarnac lancés depuis une « URL raccourcie » ne se comptent plus. Les derniers exploits du genre visent les usagers de Google et ont fait l’objet d’une présentation par Samy Kamkar lors de la dernière Black Hat Conference. Intitulée « Comment j’ai rencontré votre petite amie », cette amusante causerie explique comment récupérer l’adresse MAC du routeur ADSL de la victime par le biais d’un site web (compromis) utilisant Javascript. L’identifiant matériel du routeur une fois connu, une rapide requête sur le Google Location Service indique à quelques mètres près où habite la future victime, grâce en soit rendue aux automobiles Google et à leur sniffer WiFi. L’attaque est décrite pas à pas et de manière relativement humoristique (sauce geek) au fil d’un fichier Powerpoint conçu par Kamkar.

Allez, encore un dernier gros botnet officiel, avec deux articles sur les campagnes SEO orchestrées par les vendeurs de faux antivirus. Les SEO, ce sont ces systèmes de pondération-classification utilisés par les moteurs de recherche et qui sont capables de placer en tête de page les résultats de recherche jugés les plus pertinents. Un classement que les spécialistes des faux antivirus tentent de falsifier à l’aide d’une foultitude de sites compromis, pour pouvoir passer avant les Symantec, Sophos et autres Kaspersky.

Le premier papier sur le sujet – est-ce surprenant - est signé Dancho Danchev et traite de l’invasion progressive des sites Web hollandais et helvétiques compromis par les marchands de Scarewares. L’autre est écrit par Bojan Zdrnja du Sans Institute. Tous deux décrivent les techniques d’injection qui parviennent à tromper les « Crawlers » des moteurs de recherche et les forcent à indexer des sites franchement marrons en les faisant passer pour d’honnêtes vendeurs d’antivirus. Autant les astuces employées sont subtiles – car devant contourner un nombre impressionnant de mesures de protection mises en place par les Google et Bing du monde entier au fil du temps -, autant les réseaux de diffusion sont colossaux. L’article de Danchev s’étale sur près de 25 pages-écran, et n’est constitué que d’adresses de sites faisandés, d’organigrammes de serveurs mafieux et de liens évidents avec les gardiens du botnet Gumblar. « Google is your friend, and Bing too », ironise-t-on dans les banlieues de Moscou et de Saint-Petersbourg.

2) Network Solution joue au botnet

Network Solution (NS), dans le paysage des registrars du monde entier, fait figure d’ancêtre… presque d’institution. L’histoire n’en est que plus piquante. Car, nous apprend le blog d’Armorize, un widget promotionnel d’origine NS – tout à fait légal - aurait été détourné par des pirates, le transformant en déclencheur de « téléchargeur de troyen ». L’installation de ce widget compromis transformait ipso facto en source de diffusion de malware tout serveur Web, tout blog qui aurait été enrichi de cette appliquette par son webmestre. NS a rapidement réagi en fermant le site growsmartbusiness.com chargé notamment de diffuser cette épique appliquette hippique.

Si l’aiguillon du doute n’avait pas poussé les chercheurs d’Armorize à aller plus loin, l’on aurait conclu à une petite attaque ciblée. Mais devant la grogne d’un nombre croissant de webmestres infectés, l’équipe continue son enquête, et s’aperçoit que ledit Widget – accompagné d’une fausse appliquette de messagerie instantanée - se retrouve avec une fréquence élevée sur un nombre impressionnant de « pages parking » gérées par NS. Pour en avoir le cœur net, les chercheurs du laboratoire d’Armorize déposent un nom de domaine test, lui adjoignent un service d’hébergement, et suivent la procédure standard consistant à activer sans le « remplir » le serveur Web du domaine. Page garée comme tant d’autres sur ces « parkings publicitaires » destinés à séduire les internautes égarés ou en recherche d’un site qui n’existe pas.

Une rapide requête Google parvient à dénicher près de 500 000 pages de ce type…. Les moteurs de recherche Yahoo sont bien plus pessimistes, puisqu’ils trouvent plus de 5 millions de pièges au widget corrompu. Piège, doit-on préciser, qui n’est détecté que par un peu moins de la moitié des antivirus commerciaux standards. De son côté, un porte-parole de Network Solution estime ces deux chiffres très exagérés. Une requête Google est pourtant difficile à faire mentir.

«  Entre 500 000 et 5 millions de vecteurs d’infection »… quel que soit le chiffre réel, c’est là indiscutablement l’un des plus jolis et des plus discrets botnets de la création. Le troyen – ainsi que la fameuse « fausse UA de messagerie instantanée » - sont spécifiquement conçus pour attaquer des internautes chinois. Mais l’idée pourrait être reprise par d’autres amateurs d’infections massives plus intéressés par les richesses occidentales.

La charge utile du virus est elle-même un concentré d’efficacité. Outre un espionnage de tout ce qui est visité par la victime à l’aide des principaux navigateurs du marché, le malware détourne les requêtes Google, Ask, Yahoo ! AOL et Bing vers un autre site, et empoisonne la vie de l’internaute en lui assénant des publicités sur le thème «  Cialis, pharmacie, casinos… ». A noter également une intéressante procédure de duplication ; ledit virus recherche l’existence de répertoires créés par des logiciels d’échange P2P et autres outils d’échange (Kazaa, eMule, eDonkey,ICQ, Limewire etc) et s’y camoufle sous des noms parfois édifiants : WinRAR v3.x keygen [by HiXem].exe, MSN Password Cracker.exe, K-Lite Mega Codec v5.2.exe ou encore Adobe Photoshop CS4 crack by M0N5KI Hack Group.exe.

Pour approfondir sur Menaces, Ransomwares, DDoS