freshidea - stock.adobe.com
Infostealers et plus : les infections continuent dans l’enseignement supérieur
Plus question, pour le CERT Renater, que sortent du petit monde de l’enseignement supérieur et de la recherche ses statistiques hebdomadaires sur les infections, compromissions et autres incidents de sécurité. Mais ceux-ci n’en surviennent pas moins. Exemples.
Les bulletins statistiques hebdomadaires du CERT Renater ne sont plus accessibles publiquement. LeMagIT les utilisait régulièrement pour faire le point sur l’ampleur de la menace représentée par les infostealers. L’image était, par construction, parcellaire, mais elle ne manquait pas d’intérêt, en tendance.
Mais voilà, depuis peu, l’Université Aix-Marseille ne les rend plus accessibles dans ses archives : ces bulletins sont bien mentionnés, mais cliquer sur le lien correspondant ne mène nulle part. De sources concordantes, cela n’a rien d’accidentel.
Pour autant, et sans surprise, les incidents continuent bien de survenir. Ainsi, la plateforme Cavalier d’Hudson Rock a encore repéré des identifiants liés à Renater, compromis par infostealer, ce 29 janvier 2024.
Début décembre, une université française reçoit ainsi une alerte du CERT Renater pour une infection probable par Raccoon Stealer. Deux semaines plus tard, l’histoire se répète avec Pikabot.
Tout début janvier, nouvelle alerte, cette fois-ci pour le revenant Qakbot ! Il s’avérera très vite qu’il s’agit d’un faux positif. Quelques semaines plus tard, c’est une infection probable par FakeUpdates qui est signalée. Rebelote une semaine plus tard.
Pour ces deux derniers cas, les adresses IP malveillantes observées sont publiquement connues et référencées, notamment, par le service ThreatFox d’Abuse.ch. Mais elles étaient manifestement déjà connues de certaines équipes de renseignement sur les menaces françaises, avant d’être connues publiquement : pour le premier cas FakeUpdates, il s’est écoulé 9 jours entre la détection sur cette université en France et le partage de l’adresse IP malveillante dans ThreatFox.
Les cas Raccoon Stealer et Pikabot sont plus troublants encore : les adresses IP mentionnées dans les bulletins d’alerte ne sont pas encore à ce jour référencées publiquement. L’une d’entre elles apparaît toutefois dans des résultats d’analyse de maliciel dans des sandbox publiques.
Ce renseignement sur les menaces fait ici la démonstration de son importance pour la détection des menaces. Le CERT explique ici comme il procède : « les fonctionnalités Netflow au niveau du backbone de Renater nous permettent d’analyser les [flux] en transit afin d’éventuellement repérer des attaques en temps reel ». À condition de disposer des bons marqueurs techniques.