Un troyen se propage via des serveurs militaires

Le par  |  7 commentaire(s)
dod_logo

BitDefender émet une alerte concernant la propagation d'un cheval de Troie dénommé Edunet. L'éditeur européen est presque en admiration devant le travail accompli par les pirates.

dod_logoL'analyse suivant son cours, BitDefender n'a pas été très explicite sur le mode opératoire et la dangerosité de sa nouvelle trouvaille baptisée Edunet. Cela n'empêche pas l'éditeur de déjà mettre en avant un travail pas franchement d'orfèvre mais une attaque à grande échelle audacieuse orchestrée par des pirates. Un choix qui devient de plus en plus rare, ces derniers préférant dorénavant cibler leurs attaques en s'en prenant à l'utilisateur.


Cheminement complexe pour attaque culottée
Ce que BitDefender nous apprend, c'est que le cheval de Troie de son nom complet Backdoor.Edunet.E, utilise les ordinateurs infectés en les transformant en plate-forme d'envoi  de commandes à des serveurs mail, devenant alors des outils de propagation de spam. Le fait marquant est sans doute que ces serveurs appartiennent aux domaines .edu et .mil. Ces domaines sont respectivement réservés aux établissements d'enseignement aux Etats-Unis et aux serveurs militaires, utilisés par ni plu ni moins que le Département de la Défense des USA.

Le spam propose des liens vers des vidéos dont la consultation nécessite le téléchargement d'un lecteur adéquat qui n'est en réalité que ledit troyen, et le serpent se mord la queue. Pour l'un des responsables de BitDefender : " On ne tombe pas tous les jours sur un travail de pirates de cette envergure, sans compter sa capacité à utiliser des serveurs de spam relais au sein de structures universitaires ou militaires. "
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #206741
Je crois qu'il y à surtout des ingénieurs et des administrateurs réseau à virer pour cause d'incompétence majeure.

La sécurité fait partie du boulot les gars, anticiper les attaques et faire de la veille sur les systèmes c'est ce pourquoi on vous paie !
Le #206761
En réalité, beaucoup se contentent de boire des cafés, lire des revues informatiques histoires d'enrichir leur vocabulaire pour essayer d'en mettre plein la vue aux autres services mais le travail lui, est sous-traité, sans contrôle serieux.
Malheureusement très fréquent, surtout dans les grosses boîtes où souvent on croit que le travail qu'on ne fait pas sera fait par le voisin.
Le #206771
La sécurité est un travail de tout les jours et prise aux sérieux mais pas partout ...
Le #206901
Il serait intéressant de savoir si le vecteur principal est l'administré lambda qui installe des cochonneries ou si il s'agit de raids sur des services (0-Day surtout).

Dans le premier cas, il est pas facile d'intervenir dans les hauts niveaux hiérarchiques. On peut raisonnablement dire que le haut de la hiérarchie emmène l'ordinateur de fonction à la maison, il se voit remplis de divx, mp3 et jeux 3D en tout genre pour les enfants... et parfois 1 ou 2 saloperies qui seront ensuite propagées.

Dans le 2ème cas, un 0-day ça tombe sans prévenir... et tout le monde y passe ( IIS, Tomcat, Apache ...). A moins de trainer en eaux troubles, on est prévenu qu'après les premières vagues de raids.

Si en plus on considère que les DSI sont très peu consultés pour les investissements matériels et logiciels ( http://www.cio-online.com/actualites/lire-les-dsi-toujours-exclus-de-la-direction-strategique-1244.html ) quelle est leur part de responsabilité ?
Le #206941
Juin ou juillet 2003 (je ne me souviens plus très bien de la date précise), Ministère de la Santé, France : Infection par Wormblast de tous les serveurs sous Windows 2000 tout juste installés et des quelques station installées sous XP (98SE était encore dominant et non concerné par Wormblast). 24 heures sans messagerie.

La raison : Une coïncidence malheureuse entre un retard de 24h sur la MAJ de la solution antivirus et un malheureux agent de l'administration qui à connecté son laptop chez lui, à récupéré le ver et l'a injecté tout seul comme un grand le lendemain matin au bureau en évitant surtout de respecter la règle de base qui lui avait été indiquée : ne jamais connecter une machine du bureau à internet @ home.

Résultat : 24 heures sans messagerie et une désinfection serveur par serveur et poste par poste avec le patch adéquat.

Les poste du site que j'administrais avec mes collègues n'avait pas été touché, nous avions fais le choix d'utiliser une solution firewall logicielle sur les serveurs et les stations de travail. Car bien que les passerelles du Ministère protègent l'ensemble du réseau, elle travaillent très en amont des serveurs et des stations des sites, les rendant vulnérables en cas de retard sur les MAJ WUS ou de l'antivirus.

L'idéal, mais là c'est un autre budget, c'est d'avoir en + un véritable firewall de niveau 7, comme on en trouve chez Zyxel ou Juniper mais il est parfois difficile de convaincre la Direction malgré les bénéfices apportés par ce genre de solution.

KerTiaM : C'est très utile de "trainer" en eaux troubles, ils y à des sites où je n'ai absolument pas honte d'aller car ils sont très instructifs, même s'ils sont très très mal fréquentés.

L'incident de ces derniers jours est selon moi provoqué par un manque de vigilance.
Le #207191
C'est la guerre ?
Le #207281
@Natacha
Il suffit d'après la lecture de ton post, de voir que l'architecte reseau et systeme est mauvais.
Déjà si votre serveur WSUS à des problèmes de réplication sur 24h et idem pour le ou les serveurs de protection virales, il faut travailler sur ces services.
De plus, il est évident qu'un utilisateur ne peut pas comprendre ou respecter les règles mis en place par un service informatique, c'est là la vigilance à avoir. Et ce que tu dis, soulève un problème de fond dans les grandes infrastructures, à savoir une sécurité mal pensée et le pouvoir décisionnaire de rajouter des éléments sécuritaires lorsque cette dernière manque d'efficacité ou que les FW sont trop en amont avec risque trop important. Gros problème d'architecture réseaux et systèmes, mais ça se voit dans de très grand groupes. Et lorsque qu'il y a sous traitance, c'est la galère, trop d'intervenant sur un même système amène de toute façon à un moment donné ou un autre, à des problèmes sécuritaires. Il y a encore beaucoup de taff, pour que les entreprises prennent en considération tout ces facteurs, et que le budget sur la sécurité ne doit pas être prit à la légère. Après tout dépend de l'admin, ou du DSI pour exposer le problème et tout dépend aussi des pdg ou directeur, qui considère que l'informatique leur coute trop de pognon et qu'il faut économiser.
Bref problème archi connu depuis des années....
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]