avril 30th, 2013

Botnet, téléphone maisonsssss !

Posté on 30 Avr 2013 at 5:24

Encore un rapport statistique, encore une étude sur les APT et leur origine Chinoise supposée. Mais cette analyse, réalisée par FireEye, ( téléchargement gratuit, inscription inquisitrice obligatoire) apporte un éclairage relativement différent comparé aux récents travaux de Verizon et Mandiant. Les enquêteurs partent du principe qu’effectivement, une très vaste majorité des outils d’espionnage et d’exfiltration de donnée (89%) sont d’origine Chinoise, reposant d’ailleurs bien souvent sur un moteur unique, Gh0st RAT. Un Botnet dont les machines qui, comme tous les outils du même métal, doivent nécessairement communiquer avec leur C&C, leur centre de commande et de récupération d’information, ne serait-ce que pour y trouver des mises à jour ou y envoyer le fruit de leurs pillages de données. Et c’est précisément cette fonction « téléphone maison », pour un volume de plus de 12 millions d’appels, que l’équipe de FireEye a tracé.

Et contrairement aux idées reçues, les Bot ne téléphonent pas en Chine. Bien au contraire, ils auraient tendance à chercher un C&C dans le pays de résidence de la machine compromise. Un zombie US appelle un centre de commande US. Principale raison de ce refus d’une plateforme offshore : la volonté de ne pas attirer l’attention des outils de surveillance. Un ordinateur qui appelle le Kazakhstan, c’est forcément suspect. Mais un envoi de fichier ver La Garenne Bezon, pourquoi y voir du mal ? La première conséquence de cette « relocalisation » des appels de machines compromise est un accroissement du nombre de pays hébergeurs de C&C. 184 pays recensés à la fin 2012.

Et lorsque les données quittent manifestement les frontières du pays, c’est pour voyager non pas en Chine, mais en direction du Japon ou de la Corée du Sud, havre de paix pour les C&C en mal d’hébergement. Pourquoi la Corée ? Probablement, expliquent les ingénieurs de FireEye, en raison de la qualité exceptionnelle de l’infrastructure Internet en ce pays. Le sérieux du réseau Coréen inspire confiance aux espions de l’Empire du milieu.

Du coup, les USA, cible privilégiée des espions Chinois, se trouvent pratiquement en tête du classement des pays hébergeurs de C&C, puisque 44% des appels de zombies convergent vers ce pays. Comparativement, les machines expatriant leurs données ne comptent plus que pour 24 % des rappels, mais ces rappels s’effectuent en priorité dans une région d’Asie ou l’influence Chinoise est très importante : Corée du Sud, Japon, Inde, Hong Kong. En deuxième place viennent les pays qui échappent juridiquement aux polices des pays occidentaux Russie, Pologne, Roumanie, Ukraine, Kazakhstan et… Lettonie, pays de la zone CE. Ce n’est donc plus une seule maison à laquelle téléphone le bot moyen, mais à une multitude de « légations officielles du réseau pirate Chinois ».

GreHack 2.0 sur la rampe de lancement

Posté on 30 Avr 2013 at 4:19

Le comité d’organisation du symposium « Grey-Hat Hacking » de Grenoble, alias GreHack, lance son appel à communications. Les soumissions devront être adressées au comité avant le 30 juin prochain, et les auteurs retenus seront informés le 4 septembre au plus tard, date anniversaire de la création de la IIIème république, il y a peut-être là un indice pour le CTF associé.

GreHack se déroulera le 15 novembre prochain, dans un amphithéâtre de l’Ensimag, sur le campus universitaire de St Martin d’Hères.

Peu ou pas de limitation dans les thèmes pouvant être abordés : hack matériel, exfiltration de données, chiffrement et cryptoanalyse, vulnérabilités, analyse et modélisation de malwares… la diversité des thèmes abordés l’an passé (https://www.cnis-mag.com/grehack-comme-une-graine-de-sstic-en-region-rhones-alpes-1.html), la qualité des intervenant a prouvé qu’une manifestation sur la sécurité des S.I. n’est pas nécessairement que Parisienne ou Rennaise.

Publicité

MORE_POSTS

Archives

avril 2013
lun mar mer jeu ven sam dim
« Mar   Mai »
1234567
891011121314
15161718192021
22232425262728
2930