Le proxyjacking revient en force chez les cybercriminels

0


Technique de dtournement de la bande passante des entreprises, le proxyjacking connait une recrudescence dans le monde des cybercriminels. Plusieurs campagnes ont t dtectes par Akamai qui se servent notamment de conteneurs Docker.

BaptisĂ© Ă  un moment proxyware (par Cisco Talos en 2021) ou proxyjacking, ce procĂ©dĂ© consiste Ă  payer un utilisateur pour pouvoir se servir d’une partie de la bande passante inutilisĂ©e. Une technique encore plus rĂ©munĂ©ratrice si elle se fait sur le rĂ©seau de l’entreprise, mais parfaitement illĂ©gale et dangereuse. Si le concept n’est pas nouveau, « la possibilitĂ© de le monĂ©tiser facilement par des affiliĂ©s de groupes connus l’est », souligne un rapport d’Akamai. « Comme il offre un moyen facile de gagner de l’argent, ce vecteur reprĂ©sente une menace pour le monde de l’entreprise, comme pour le grand public, d’oĂč la nĂ©cessitĂ© d’accroĂźtre la sensibilisation Ă  ce problĂšme et espĂ©rons-le son attĂ©nuation », ajoute le spĂ©cialiste du CDN.

Plusieurs campagnes détectées

Dans plusieurs campagnes sur lesquelles l’Ă©quipe d’Akamai a rĂ©cemment enquĂȘtĂ©, les attaquants ont utilisĂ© des identifiants SSH compromis pour dĂ©ployer une sĂ©rie de scripts qui ont transformĂ© les serveurs en clients proxy sur les rĂ©seaux Peer2Profit et Honeygain. Ces deux services, prĂ©sentĂ©s comme des outils de revenus passifs, permettent aux utilisateurs de partager leur bande passante et leur adresse IP inutilisĂ©es dans le cadre d’un rĂ©seau partagĂ© de serveurs proxy, rĂ©seau utilisĂ© ensuite par des entreprises payantes pour la collecte de donnĂ©es, la publicitĂ© et d’autres activitĂ©s.

Pour ces services basĂ©s sur le volontariat, les personnes doivent installer une application client sur leur ordinateur ou leur tĂ©lĂ©phone portable. « La situation est complĂštement diffĂ©rente si une application est dĂ©ployĂ©e Ă  l’insu ou sans le consentement de l’utilisateur, et qu’elle sert Ă  exploiter ses ressources », ont dĂ©clarĂ© les chercheurs d’Akamai. « C’est Ă  ce moment-lĂ  que l’usage apparemment anodin de ces services bascule dans la cybercriminalitĂ©. En rĂ©quisitionnant plusieurs systĂšmes et leur bande passante, l’attaquant augmente effectivement les gains potentiels qu’il peut tirer du service, et cela, aux dĂ©pens des victimes », ont-ils ajoutĂ©. Dans le concept, cette attaque est proche du cryptojacking, qui consiste Ă  utiliser les ressources informatiques d’une machine pour miner des crypto-monnaies Ă  l’insu ou sans l’accord du propriĂ©taire du systĂšme.

Proxyjacking via des conteneurs Docker

Dans les attaques observĂ©es par Akamai via ses pots de miel, les attaquants se sont d’abord connectĂ©s via SSH et ont exĂ©cutĂ© un script Bash codĂ© en Base64. L’objectif de ce script est de se connecter Ă  un serveur contrĂŽlĂ© par l’attaquant et de tĂ©lĂ©charger un fichier appelĂ© csdark.css. Or ce fichier est une version compilĂ©e de curl, un outil de ligne de commande Linux trĂšs utilisĂ© pour tĂ©lĂ©charger des fichiers. L’exĂ©cutable n’est dĂ©tectĂ© par aucun moteur antivirus sur VirusTotal car il s’agit d’une version lĂ©gitime et non modifiĂ©e de curl, qui figure probablement sur la liste blanche des outils systĂšme. Une fois curl dĂ©ployĂ© sur le systĂšme, le script Bash change le rĂ©pertoire de travail en un rĂ©pertoire temporaire, gĂ©nĂ©ralement accessible en Ă©criture et exĂ©cutable par tous les utilisateurs, tel que /dev/shm ou /tmp. Il procĂšde ensuite au tĂ©lĂ©chargement d’une image de conteneur Docker prĂ©chargĂ©e et prĂ©configurĂ©e avec les clients Peer2Profit ou Honeygain, ainsi qu’avec l’identifiant d’affiliĂ© de l’attaquant sur les rĂ©seaux, afin que les systĂšmes dĂ©tournĂ©s soient enregistrĂ©s sous leur compte.

Avant de dĂ©ployer l’image de conteneur Docker tĂ©lĂ©chargĂ©e sous le nom de postfixd, le script vĂ©rifie si d’autres conteneurs concurrents, Ă©ventuellement dĂ©ployĂ©s par d’autres attaquants, sont en cours d’exĂ©cution et arrĂȘte ceux qu’il trouve. Postfix est un agent de transfert de courrier Ă©lectronique trĂšs rĂ©pandu sous Linux. Les attaquants ont donc choisi ce nom suivi de d (daemon) pour que leur conteneur soit moins visible dans la liste des processus du systĂšme. Peer2Profit et Honeygain fournissent tous deux des images Docker publiques pour leurs clients et avec plus d’un million de tĂ©lĂ©chargements, elles sont assez populaires, de sorte que les attaquants n’ont pas eu grand-chose Ă  faire pour mettre en place l’environnement et les outils. Il semble que le serveur web sur lequel les attaquants hĂ©bergent leur exĂ©cutable curl rebaptisĂ© a Ă©tĂ© piratĂ© et qu’il contient un outil de cryptomining. Il est donc probable que les attaquants Ă  l’origine de ces campagnes de proxyjacking se livrent Ă©galement au cryptojacking. « Dans cette campagne particuliĂšre, le SSH a Ă©tĂ© utilisĂ© pour accĂ©der Ă  un serveur et installer un conteneur Docker, mais dans les campagnes prĂ©cĂ©dentes, les pirates ont aussi exploitĂ© des vulnĂ©rabilitĂ©s web », ont dĂ©clarĂ© les chercheurs d’Akamai. « Si, aprĂšs vĂ©rification des services Docker locaux en cours d’exĂ©cution, l’équipe IT trouve un partage de ressources indĂ©sirable sur un systĂšme, elle doit enquĂȘter sur l’intrusion, dĂ©terminer comment le script a Ă©tĂ© tĂ©lĂ©chargĂ© et exĂ©cutĂ©, et effectuer un nettoyage complet », ont recommandĂ© les chercheurs.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *