Archives par mot-clé : bot

Wipers et botnets IoT dominent le paysage des menaces

La guerre entre la Russie et l’Ukraine, la multiplication des équipements connectés et les botnets IoT ont eu le plus fort impact sur les menaces visant les systèmes de contrôle des processus industriels (ICS).

Selon le dernier rapport de sécurité OT et IoT de Nozomi Networks Labs, les malwares de type « wipers », l’activité des botnets IoT et la guerre entre la Russie et l’Ukraine ont eu un fort impact sur le paysage des menaces au premier semestre 2022.

Depuis le début de l’invasion de l’Ukraine par la Russie en février 2022, les chercheurs ont observé l’activité de plusieurs types d’acteurs malveillants, notamment des hacktivistes, des APT étatiques et des cybercriminels. Ils ont également été témoins de l’usage intensif de wipers, ainsi que de l’apparition d’un variant d’Industroyer, nommé Industroyer2, conçu dans le but de détourner le protocole IEC-104, couramment utilisé dans les environnements industriels. Comme le montre le blog ZATAZ, spécialiste de l’actualité liée à la lutte contre la cybercriminalité, les assauts des pirates informatiques Russes et Ukrainiens ont évolué de manière significative.

Toujours au premier semestre 2022, l’activité des botnets IoT s’est intensifiée et complexifiée. Nozomi Networks Labs a mis en place une série de honeypots destinés à attirer ces robots malveillants et à en capter l’activité afin d’en savoir plus sur la manière dont ils ciblent l’Internet des objets. Les analystes de Nozomi Networks Labs ont ainsi exprimé des préoccupations croissantes autour de la sécurité des mots de passe codés « en dur » et des interfaces Internet servant à l’identification des utilisateurs. De janvier à juin 2022, les honeypots de Nozomi Networks ont permis les découvertes suivantes :

Mars 2022 a été le mois le plus actif, au cours duquel ont été collectées près de 5000 adresses IP distinctes de cyberattaquants. Les plus nombreuses de ces adresses IP se situaient en Chine et aux Etats-Unis. Les identifiants root et admin sont les plus fréquemment ciblés et exploités selon diverses méthodes par des acteurs malveillants afin d’accéder à l’ensemble des commandes et comptes utilisateurs.

En matière de vulnérabilité, les secteurs de la fabrication et de l’énergie demeurent les plus exposés, suivis par la santé et le commerce.
La CISA a rendu publiques 560 CVE, un nombre en recul de 14 % comparé au second semestre 2021.
Le nombre de fabricants touchés a augmenté de 27 %.
Le nombre de produits touchés est lui aussi en hausse, de 19 % par rapport au second semestre 2021.

« Cette année, le paysage des cybermenaces s’est complexifié, commente Roya Gordonde chez Nozomi Networks. « De nombreux facteurs, notamment la multiplication des équipements connectés, la sophistication des acteurs malveillants ou encore l’évolution des motifs des attaques accentuent le risque de piratages de données ou de cyberattaques physiques. Heureusement, les défenses de sécurité évoluent elles aussi. Des solutions sont disponibles dès à présent pour apporter aux infrastructures critiques la visibilité réseau, la détection dynamique des menaces et les informations de veille exploitables nécessaires pour réduire leurs risques et renforcer leur résilience. »

Combattre le « credential stuffing » avec l’introduction de Bot Manager Premier

Credential stuffing, une technologie puissante d’analyse des comportements suspects capable de détecter des bots hyper sophistiqués mise en place par Akamai.

La société Akamai Technologies vient d’annoncer Bot Manager Premier et son credential stuffing. Dernière nouveauté de sa gamme de produits de sécurité dans le cloud, Bot Manager Premier. Il est conçu pour aider les entreprises à gérer l’impact des bots sur leur environnement numérique dans son ensemble. Première défense sur les sites et API Web et applications pour mobile.

Selon une étude récente menée par le Ponemon Institute pour le compte d’Akamai, 54 % des répondants indiquent que les attaques de type « credential stuffing » se multiplient. Ils sont de plus en plus graves. 68 % des personnes interrogées estiment avoir peu de visibilité sur les attaques de type « credential stuffing ». 70 % d’entre elles jugent que les solutions existantes ne permettent pas de prévenir et de contenir ces attaques. Dans ce contexte difficile, Bot Manager Premier a été spécialement conçu pour aider les commerces en ligne à résoudre plusieurs cas d’utilisation de bots sophistiqués. Ces situations incluent le vol d’identifiants, la consultation du solde des cartes-cadeaux/cartes de crédit. Des attaques à l’encontre des programmes de fidélité, l’achat automatisé de voyages…

Credential stuffing

Bot Manager Premier offre de nouvelles fonctionnalités d’analyse des comportements suspects qui ont démontré leur capacité à détecter une grande partie des bots sophistiqués connus. Intégrant la technologie issue de l’acquisition de Cyberfend, Bot Manager Premier est capable de détecter l’activité de bots tentant de simuler une interaction humaine, même si ces bots changent en permanence de comportement afin d’échapper à la détection tout en ciblant des pages de connexion ou de transaction. De plus, Bot Manager Premier gère avec efficacité d’autres types d’activités générées par les bots. Le scraping ou l’agrégation du contenu, y compris les activités de bots « bienveillants » susceptibles d’affecter d’autres aspects du site Web.

Chasse aux bots !

Parmi les entreprises qui bénéficient déjà des avantages des solutions de gestion des bots d’Akamai, la U.S. News & World Report, éditeur d’actualités et d’informations multi plates-formes. D’après Matt Kupferman, directeur principal de l’ingénierie, « Il est extrêmement bénéfique pour une entreprise comme la nôtre de savoir qui interagit avec notre site. Avoir une plus grande visibilité sur le trafic des bots. Avec Bot Manager, nous n’avions qu’à « appuyer sur un bouton » pour obtenir une visibilité immédiate. Pour une véritable intégration à la périphérie, c’est la seule chose qui ait fonctionné. »

Bot Manager Premier d’Akamai est destiné à répondre aux besoins du commerce en ligne en proposant :

La détection avancée des bots incluant l’analyse des comportements suspects dans le but de contrecarrer le vol d’identité, la consultation du solde des cartes-cadeaux et autres types d’actes frauduleux en ligne visant les pages de connexion et de transaction.

Un SDK mobile pour mieux protéger les API et applications pour mobile de l’activité des bots.

Des actions avancées et conditionnelles afin de fournir aux entreprises les outils pour gérer différents types de bots. Des bots scrapers, agrégateurs de contenu…

« Pour réussir aujourd’hui, une entreprise doit interagir avec ses clients en ligne. Explique Josh Shaul, Vice Président, Web Security, Akamai.

« Mais pour ce faire, elle est obligée d’exposer des pages de connexion et diverses pages de transaction susceptibles d’être détournées.« .

Les pays et villes qui abritent des repères de bots

La France repère de bots ? L’hexagone est le 8e pays au monde où le volume d’attaques contre les objets connectés est le plus élevé. 6,7 millions de bots en plus et à travers le monde sur l’année 2016 ont été recensés.

Les repères de bots dans le monde ! Un an après la première attaque majeure du botnet Mirai, qui a paralysé et mis à l’arrêt une grande partie de l’internet, Norton by Symantec révèle les villes et pays (lien) qui ont involontairement accueilli un grand nombre d’infections de bots et fait le point sur leur évolution afin de mieux comprendre ce phénomène. 6,7 millions de bots supplémentaires ont rejoint le nid en 2016 au niveau mondial ; l’Europe représente plus d’un cinquième (18,7 %) de la population totale bots dans le monde.

Selon l’étude, la France est désormais le 16e pays le plus important en volume de bots en Europe et se classe au 8e rang mondial des pays ayant connu le plus d’attaques contre les objets connectés ; La ville de Paris est la première ville de France en volume de bots avec 28,18 % du nombre total de bots en France, suivie de Roubaix (8,31 %), Aubervilliers (3,40 %) et Marseille (3,33 %) ; Le Vatican, le plus petit pays au monde, possède la plus haute densité de bots en comparant le nombre d’infections par utilisateur d’internet. 5 personnes par bot.

Pour Roubaix, dans le Nord de la France, cela s’explique rapidement. OVH s’y trouve. Il est le plus important hébergeur d’Europe. Et ils sont aussi d’une efficacité loin d’être négligeable dés qu’il s’agit d’alerter et de prendre des mesures face aux sites infiltrés et exploités dans des attaques. Data Security Breach peut en témoigner avec une alerte, il y a 15 jours et une équipe OVH efficace pour informer, contrôler et bloquer si besoin. Pour le Vatican, un chiffre à prendre avec des pincettes, et pour cause, la population est de 451 personnes !

Contrôlées à distance par des cybercriminels et faisant partie d’un réseau global de bots, ces « machines zombies » sont utilisées pour réaliser des attaques par déni de services (ou DDoS – des attaques qui ont pour objectif de rendre indisponible un site Internet), envoyer du spam, perpétrer des fraudes au clic ainsi que de nombreux actes de cybercrime, à l’insu du propriétaire du terminal infecté. Ces botnets, disponibles à la location sur des forums spécialisés et sur le darknet, peuvent coordonner des millions de terminaux connectés pour des attaques massives et coordonnées. « L’an passé, 13,7 millions de Français ont été victimes d’actes de cybercriminalité, les bots et repères de bots étant un outil clé dans l’arsenal du cyber attaquant, », explique Laurent Heslault, expert en cyber sécurité chez Norton by Symantec. « Tout périphérique connecté à Internet peut être exposé à une infection de bots et donc vulnérable. Ce ne sont pas seulement les ordinateurs qui fournissent aux cybercriminels une armée de robots. En 2016, nous avons remarqué que les cybercriminels utilisaient de plus en plus les smartphones et les objets connectés pour renforcer leurs rangs de bots. Les serveurs offrent également une capacité de bande passante beaucoup plus grande pour une attaque DDoS que les PC grand public traditionnels. »

Selon les experts, l’émergence des appareils connectés pourraient expliquer la hausse des infections de bots en 2016 à travers le monde. Au cours de son apogée l’année dernière, lorsque le repère de bots Mirai se développait rapidement, composé de près d’un demi-million d’appareils connectés tels que les caméras IP et les routeurs à domicile, des attaques contre les objets connectés avaient lieu toutes les deux minutes. À l’insu des propriétaires d’appareils, près d’un tiers (31 %) des attaques proviennent de dispositifs en Europe seulement. La France se classe au 8e rang des pays concernés par l’émission d’attaques contre les objets connectés. Cependant, le lieu de résidence d’un bot n’est pas obligatoirement le lieu de sa création. Par exemple, un dispositif infecté en Europe pourrait contribuer à une attaque en Asie tout en étant contrôlé par un cybercriminel situé aux États-Unis.

Les pays de l’Est, repères de bots ?

La Russie a accueilli le plus grand nombre de bots dans toute l’Europe avec 13,6 % des dispositifs infectés par le virus en Europe qui y résident. Cependant, avec la plus grande population connectée à internet en Europe, la « densité de bots » de la Russie est relativement faible. La « densité de bots » ou les « bots par personne connectée » est une comparaison entre le nombre d’internautes d’un pays et le volume des infections par bots. Il vise à préciser quels pays ont un taux d’infection plus élevé. Avec un bot pour tous les 41 internautes, la Russie se classe au 31e rang en Europe et 94e au monde pour la densité de bots.

Ce taux d’infection relativement faible peut être influencé dans une certaine mesure par les codes de conduite de la communauté de piratage de la Russie. « Les Russes infectant les Russes sont considérés comme un faux pas en cyber criminalité, » commente Candid Wueest. « Il y a eu des cas dans le passé où les cyber-attaquants étaient « doxxed » ou livrés à la police par la communauté de cyber-attaquants pour avoir infecté des terminaux locaux. »

Le Saint-Siège de Rome, le pays le plus petit au monde, a la plus forte densité de bots, non seulement en Europe, mais également dans le monde entier. Le nombre de résidents étant significativement bas, cela signifie qu’une personne connectée au Vatican a une chance sur cinq d’utiliser un dispositif « zombie » permettant aux cybercriminels de lancer des attaques, propager des spams, le tout, à son insu.

Les villes de Madrid, Istanbul et Moscou seraient des repères de bots dans leurs villes que la grande majorité des nations ont dans leur pays. Madrid, avec 4,64 % de la population européenne de bots, Istanbul, avec 4,62 %, et Moscou avec 4,59 % ont eu plus de bots que les Pays-Bas, le 8e pays infecté par le virus en Europe.

Les Hauts de France, une région infestée de zombies ?

Révélation sur les villes et régions qui concentrent le plus de botnets et donc de machines-zombies en France.

L’éditeur américain de solutions de sécurité informatique, Symantec, a publié lors du lancement des Assises de la Sécurité un rapport mettant en lumières quelles régions et quelles villes en France avaient concentré l’an passé le plus de botnets, ces réseaux de machines zombies, que celles-ci soient des PCs, des Macs, des smartphones, tablettes ou d’autres objets connectés.

Contrôlées à distance par des cybercriminels et faisant partie d’un botnet, ces machines zombies sont utilisées pour réaliser des attaques par déni de services (ou DDoS – des attaques qui ont pour objectif de rendre indisponible un site Internet), envoyer du spam, perpétrer des fraudes au clic ainsi que de nombreux actes de cyber-crime, à l’insu du propriétaire du terminal infecté. Ces botnets, disponibles à la location sur des forums spécialisés et sur le darknet, peuvent coordonner des millions de terminaux connectés pour des attaques massives et coordonnées.

La France est le 5ème pays le plus hospitalier pour les zombies de la région EMEA, représentant plus de 7 % de la totalité des bots, et le 9ème au monde. « Les Hauts de France est la troisième région française la plus infestée en zombies, représentant 7,77 % du nombre total de bots en France, avec Lille comme principal foyer de zombies (4,16 % de la population nationale) » explique Laurent Heslault de chez Norton by Symantec. L’Île-de-France reste cependant la région où l’on trouve le plus de zombies, représentant 51,7 % du nombre total de bots du pays, avec Paris comme ville la plus infectée avec 26 % du nombre total de bots du pays. Pounic, 0,829%.

Les trois autres régions françaises les plus peuplées en zombies sont le Grand Est avec 8,92 % (Strasbourg avec 4,34 %), la région PACA avec 6,42 % (Marseille avec 2,49 %) et la région Auvergne-Rhône-Alpes totalisant 6,04 % (Lyon avec 3,97 %). Si l’on ramène les chiffres régionaux à la population connectée, la France se classe en 24ème position : l’internaute français court un risque sur 3 609 d’être un zombie (ou du moins l’un de ses terminaux).

Les meilleures destinations zombies dans la région
Si, parmi les destinations de longs week-ends, Istanbul arrive en tête des destinations zombies, avec plus de 11 600 bots détectés, les villes préférées des français sont bien souvent également celles des bots : Rome arrive au 3ème rang, Budapest au 4ème et Madrid au 8ème, offrant à l’Espagne la 6ème place du pays. Chacune d’entre elles abrite par ailleurs plus de la moitié des machines zombies recensées dans leur pays respectif.

La Turquie, l’Italie et la Hongrie dans le peloton de tête
La Hongrie figure dans le top 10 de tous les classements : nombre de bots total dans le pays (3ème) et les villes (Budapest et Szeged respectivement 4ème et 5ème), et proportion de machines-zombies par internaute (1er). Les bots y sont par ailleurs géographiquement très concentrés puisque Budapest et Szeged totalisent 93 % de ces infections dans le pays. Un internaute hongrois sur 393 utilise par ailleurs un terminal qui fait partie d’un botnet.

L’Italie arrive en 2ème position en raison du nombre élevé et de la forte concentration de machines zombies à Rome, qui représente 75 % de la population de bots totale de la … Botte (!).

La Turquie, qui a été la cible de plusieurs attaques par des groupes d’hacktivistes en 2015, concentre, et de loin, le plus grand nombre de bots, avec un nombre d’infections deux fois plus élevé que le second pays. Au 4ème rang mondial pour ce type de menaces, la Turquie héberge 18,5 % des bots de la zone EMEA, et 4,5 % au niveau mondial. En ramenant ces statistiques à la taille de la population connectée (la 7ème de la région), l’étude montre qu’un internaute turc a un risque sur 1 139 d’utiliser une machine-zombie. Par ailleurs, les machines zombies sont particulièrement urbaines, avec 97 % d’entre elles se trouvant entre Istanbul et Ankara. Ces deux villes en totalisent d’ailleurs plus que l’ensemble de l’état d’Israël.

En dépit des nombreuses escroqueries dites « à la nigériane », le Nigeria ne figure qu’au 94ème rang du nombre de bots par internaute1, avec une machine-zombie pour 2,1 millions d’internautes. D’une façon générale, les pays d’Afrique concentrent moins de bots par internaute que l’Europe occidentale ou le Moyen-Orient.

Si l’on considère le nombre de bots en le comparant au nombre d’internautes de chaque pays, on détermine le risque qu’encourt chaque internaute d’utiliser une machine – zombie. Sur ce critère, c’est la Hongrie et Monaco qui occupent la tête du classement. Les Hongrois ont un risque sur 393 d’avoir un terminal utilisé par ailleurs par des cybercriminels pour lancer des attaques ou diffuser du spam et les Monégasques un sur 457.

Bot : L’Intelligence Artificielle au service de la relation avec les téléspectateurs d’Arte

La chaîne de télévision franco-allemande ARTE souhaite déployer un « Bot apprenant » pour répondre aux questions courantes de ses téléspectateurs.

Bot  – Dans le prolongement du hackathon en ligne, proposé en juin dernier et conjointement avec Microsoft, ARTE a lancé, avec l’équipe gagnante, le développement d’un « Bot apprenant » capable de répondre rapidement et avec pertinence aux questions les plus courantes de ses téléspectateurs. Ce nouvel outil conversationnel devra permettre à ARTE d’instaurer un nouveau type de relation avec son public, fondé sur la permanence et l’ubiquité de ses services. Porté par les solutions d’Intelligence Artificielle de Microsoft, ce nouveau Bot va, à termes, simplifier l’accès aux programmes de la chaîne, enrichir l’expérience des téléspectateurs et favoriser les échanges.

Le botnet Beebone enterré vivant

Le botnet Beebone enterré vivant Europol vient de mettre fin au botnet Beebone. Plus de 12000 ordinateurs infectés par ce couteau Suisse malveillant.

Beebone, un bot net connu aussi sous le nom de AAEH, permettait à ses « maîtres » d’injecter des logiciels espions dans les machines infectées. Une arme numérique efficace selon Europol. Le 8 Avril, Le centre anti cybercriminalité d’Europol (EC3) a annoncé avoir pris la main sur l’ensemble des serveurs et noms de domaine qui permettaient d’utiliser le bot Beebone (connu aussi sous le nom de AAEH, ndr).

Avec l’aide des autorités néerlandaises, du FBI et du J-CAT, le Cybercrime Action Taskforce, l’ensemble des points de connexion de cet outil pirate ont été bloqués. Ce botnet permettait d’installer différentes formes de logiciels malveillants dans les ordinateurs des victimes. Les premiers chiffres montrent que plus de 12 000 ordinateurs ont été infectés « mais il est probable qu’il y en a beaucoup plus » confirme Europol.

Cette action a été menée avec l’aide des éditeurs de solutions de sécurité informatique (Intel Security, Kaspersky et de Shadow server) et de la remontée d’informations de leurs antivirus. Les FAI et les CERT (Computer Emergency Response Teams) concernés ont été alertés afin de prévenir les victimes. Les attaques ont visés les Etats-Unis, le Japon, Taïwan et l’Inde. (EC3)

Lancement d’Antibot France

Le CECyF – Centre Expert contre la Cybercriminalité Français et Signal-Spam ont lancé le 20 octobre 2014 Antibot France, un site d’information de prévention sur les botnets, membre du réseau européen du projet pilote Advanced Cyber Defence Centre.

Un botnet est formé par la connexion à un système de commande et de contrôle de plusieurs dizaines, centaines, voire milliers ou plus de systèmes infectés par un logiciel malveillant. Les botnets ont de nombreux usages comme: envoyer du courrier électronique non sollicité (spam), réaliser des attaques en déni de service distribué, détourner des informations confidentielles sur les machines contaminées (comme des mots de passe, l’accès à un compte bancaire), héberger des contenus illicites ou encore installer d’autres virus.

Le site www.antibot.fr informe sur ce que sont les botnets, comment ils se propagent – et donc en particulier comment un système numérique est contaminé par un virus aujourd’hui, mais aussi propose des moyens de s’en protéger et de nettoyer son ordinateur.

Le site comporte un blog qui diffusera régulièrement des articles informant sur l’actualité des botnets, propose parmi les outils de nettoyage des solutions qui ont été développés dans le cadre du projet Européen Advanced Cyber Defence Centre comme EU Cleaner ou Check and Secure un outil de diagnostic en ligne.

A noter, que les instigateurs de ce projet organisent le Botconf’14. The botnet fighting conference à Nancy, du 3 au 5 Décembre 2014.

Java Bot, un code malveillant pour Windows, Mac et Linux

Un code malveillant Java multiplateforme découvert. Il fonctionne sur Windows, Mac et Linux. Les chercheurs en sécurité de chez Kaspersky sont tombés nez-à-nez sur un malware multi-plateforme qui est capable de fonctionner sur Windows, Mac et Linux. Plutôt facheux. Le malware est entièrement écrit en Java. L’exploit utilisé pour ré-installer le code pirate est connu comme étant un Java exploit (CVE-2013-2465) qui rend la campagne malveillante complètement multi-plateforme. Une fois que le bot a infecté un système, il se copie dans le répertoire personnel de l’utilisateur. Il ajoute des programmes de maniére à ce qu’il démarre automatique au lancement de l’ordinateur. Une fois sa configuration automatisée terminée, le logiciel génère un identifiant unique et en informe son « propriétaire » de pirate. La machine se transforme en zombie. Bilan, le pirate n’a plus qu’à revendre son accès ou l’utiliser plus tard, en communiquant avec son robot, via IRC. Ce bot java sert avant tout dans des attaques de Dénis Distribuées de Services (DDoS). Toutes les machines fonctionnant sous Java 7.21, ainsi que les versions antérieures sont susceptibles d’être vulnérables à cette attaque. (Securlist)

6 connexions sur 10 signées par un robot

Les bots, des machines contrôlées pour agir sur le web en mode automatique, produiraient plus de 60% des connexions sur Internet. La société Incapsula, spécialisée dans la sécurité informatique, vient d’annoncer dans une étude réalisée par ses équipes que 61,5% des connexions sur Internet seraient produites par des bots. Seul 38,5% d’humains derrière la souris (49% en 2012). Une hausse de plus de 21% par rapport à 2012 (51%).

Dans les bots, de très nombreux spiders des moteurs de recherche, l’armada de Google en tête. L’étude Incapsula indique que les « gentils » bots sont en augmentation par rapport aux « vilains » bots (31%). Les robots informatiques pirates lancés à partir d’ordinateurs « infiltrés », les zombis, et contrôlés à distance par des pirates grimpent eux aussi de 31%.

L’étude se penche sur 90 jours de trafic visant 20 000 sites de clients de cette société américaine. Si l’augmentation est évidente, il ne faut cependant pas trop vite crier au tsunami automatisé (Cela ne concerne que leurs clients, mais donne une petite idée de la mode numérique du moment).

31% des bots sont toujours malveillants, mais avec beaucoup moins de spammeurs.

Un nouveau Kit pour bloquer des sites web

Nous ne donnerons pas le nom de l’outil, histoire de ne pas voir débouler les zozos du web et éviter des attaques DDoS contre des sites web qui ne demandent rien. Un internaute, qui semble être franco/belge, vient d’annoncer sur un forum dédié au piratage, la commercialisation d’un Bot, que DataSecurityBreach.fr a baptisé Le Chat Fou, capable de lancer des attaques électroniques sous la forme de Déni Distribué de Service (DDoS) : UDP, TCP, HTTP et Slowloris.

« Basé sur une source d’un simple HTTP botnet, Axxx Cxx est un projet personnel que j’ai débuté il y a 5 mois, à pu lire DataSecurityBreach.fr. Ce bot a été fait pour soutenir un grand nombre d’autres bots. » L’objet est commercialisé. Le codeur d’A.C. commercialise son outil « Le prix est de 40 € pour le panel + serveur + mises à jour + support« . Il est réclamé 10 € pour une installation sur un hébergement personnel et 1€ pour modifier les DNS.

Une option assez étonnante est proposée par A.C. Il est possible d’accéder à l’espace d’administration depuis son iPhone et de lancer des attaques. Ce bot est diffusé dans sa version 1.2. Bref, un outil qui risque de permettre aux pousses bouton de dire : T’es mort, t’as vu !