Avec le soutien de la Shadowserver Foundation, une organisation à but non lucratif spécialisée dans la collecte de données sur les menaces informatiques, les chercheurs en sécurité de WatchTowr Labs ont découvert plus les 4 000 portes dérobées (ou portes dérobées en français) à travers le web. Ces vulnérabilités cachées ont été placées par des cybercriminels sur des serveurs web, avant d’être abandonnées. Ils n’étaient plus activement utilisés, mais ils étaient toujours opérationnels.
Pour mémoire, une porte dérobée est un malware installé sur un site internet ou un serveur pour proposer accès clandestin aux cybercriminels. Il vous permet d’exécuter des commandes à distance, de voler des données ou d’installer d’autres logiciels malveillants. Dans ce cas, les pirates ont utilisé des domaines Internet pour transmettre des instructions aux portes dérobées. Ces domaines avaient expiré.
A lire aussi : Des pirates informatiques chinois auraient espionné les États-Unis en utilisant des portes dérobées mises en place pour des écoutes téléphoniques légales
Portes dérobées démantelées
Après avoir découvert les failles, les chercheurs ont pris la décision de démanteler toute l’infrastructure afin que d’autres pirates n’utilisent pas les portes dérobées. Pour y parvenir, ils rachètent tous les domaines laissés par les pirates. De facto, ils ont pu intercepter les communications dérobées et en prendre le contrôle. Concrètement, les chercheurs ont pu rediriger toutes les communications vers des serveurs sécurisés.
« Nous avons pris le contrôle de portes dérobées (basées sur une infrastructure désormais abandonnée ou sur des domaines expirés) qui étaient elles-mêmes intégrées dans d’autres portes dérobées »explique le rapport des chercheurs de WatchTowr Labs.
À partir de là, les experts de WatchTowr Labs ont pu déterminer une partie de la liste des victimes de la cyberattaque. Selon eux, les portes dérobées auraient notamment été déployées sur des serveurs web appartenant à des agences gouvernementales ou à des universités du monde entier, notamment en Thaïlande, en Corée du Sud et en Chine. Les tribunaux et agences chinois ont également été piratés.
A lire aussi : Une fuite de données « cauchemardesque » est en cours – la localisation de millions de smartphones a été compromise
Cybercriminels financés par les gouvernements
Tout porte à croire que les portes dérobées ont été mises en place par des cybercriminels financés par le gouvernement. L’une des portes dérobées est également associé à Lazarel’un des groupes criminels mandatés par la Corée du Nord. Les pirates se sont spécialisés dans le vol de crypto-monnaies au cours des cinq dernières années.
Ils sont notamment connus pour avoir orchestré le piratage du Ronin Network en 2022, qui a entraîné la disparition de 624 millions de dollars d’actifs numériques. Selon WatchTowr Labs, la porte dérobée a probablement été réutilisée par d’autres cybercriminels depuis que Lazarus l’a insérée :
« Il est peu probable que nous ayons attrapé Lazarus en action, étant donné le profil de la cible. Cependant, nous verrons probablement d’autres attaquants réutiliser les outils développés par Lazarus à leurs propres fins.
Tout porte à croire que les portes dérobées ont été placées par un large gamme de piratesavec des niveaux de compétence variés. Selon les experts, on peut s’attendre à ce que d’autres portes dérobées de ce type soient découvertes dans un avenir proche.
???? Pour ne manquer aucune actualité de 01net, suivez-nous sur Google News et WhatsApp.
Source :
Laboratoires WatchTowr
Related News :