Le service d’attaque en ligne lancé à la fin de l’année dernière par les mêmes criminels qui ont frappé Sony et MicrosoftLes réseaux de jeu hors ligne de pendant les vacances sont principalement alimentés par des milliers de routeurs Internet domestiques piratés, a découvert BreachTrace.com.
Quelques jours seulement après les attentats contre Sony et Microsoft, un groupe de jeunes voyous se faisant appeler les Escouade de lézards a pris la responsabilité de l’attaque et a annoncé que tout cela n’était qu’une publicité élaborée pour leur nouveau site « booter » ou « stresser » – un service conçu pour aider les clients payants à mettre pratiquement n’importe quel site ou personne hors ligne pendant des heures ou des jours à la fois. Il s’avère que ce service s’appuie sur la bande passante Internet des routeurs Internet domestiques piratés du monde entier qui sont protégés par un peu plus que des noms d’utilisateur et des mots de passe par défaut.
Les plans complémentaires du Lizard Stresser. Malgré les affirmations de ce site, il n’est *pas* parrainé par cet auteur.
Au cours des premiers jours de 2015, BreachTrace a été mis hors ligne par une série d’attaques par déni de service importantes et soutenues apparemment orchestrées par la Lizard Squad. Comme je l’ai noté dans une histoire précédente, le service de démarrage – stresseur de lézards[dot]su — est hébergé chez un fournisseur d’accès Internet en Bosnie qui héberge un grand nombre de sites malveillants et hostiles.
Ce fournisseur se trouve être sur le même réseau d’hébergement « à l’épreuve des balles » annoncé par « sp3c1alist », l’administrateur du forum sur la cybercriminalité Darkode. Jusqu’à il y a quelques jours, Darkode et LizardStresser partageaient la même adresse Internet. Fait intéressant, l’un des principaux membres de la Lizard Squad est un individu qui porte le surnom de « Sp3c ».
Le 4 janvier, BreachTrace a découvert l’emplacement du logiciel malveillant qui alimente le botnet. L’emplacement du contrôleur de botnet LizardStresser, qui se trouve être situé dans le même petit espace d’adressage Internet occupé par le site Web LizardStresser (217.71.50.x), était codé en dur à l’intérieur de ce logiciel malveillant.
Le code malveillant qui convertit les systèmes vulnérables en robots stresseurs est une variante d’un logiciel malveillant plutôt rudimentaire d’abord documenté en novembre par la société de sécurité russe Dr Web, mais le logiciel malveillant lui-même semble remonter au début de 2014 (le navigateur Chrome de Google devrait traduire automatiquement cette page ; pour d’autres, une copie traduite par Google de la rédaction de Dr. Web est ici).
Comme nous pouvons le voir dans cet article, en plus de transformer l’hôte infecté en zombies d’attaque, le code malveillant utilise le système infecté pour rechercher sur Internet des périphériques supplémentaires qui permettent également l’accès via les informations d’identification par défaut, telles que « admin/admin », ou « racine/12345 ». De cette façon, chaque hôte infecté essaie constamment de propager l’infection à de nouveaux routeurs domestiques et à d’autres appareils acceptant les connexions entrantes (via telnet) avec les informations d’identification par défaut.
Le botnet n’est pas entièrement composé de routeurs domestiques ; certains des hôtes infectés semblent être des routeurs commerciaux dans des universités et des entreprises, et il y a sans aucun doute d’autres appareils impliqués. La prépondérance des routeurs représentés dans le botnet est probablement liée à la manière dont le botnet se propage et recherche de nouveaux hôtes potentiels. Mais il n’y a aucune raison pour que le logiciel malveillant ne se propage pas à un large éventail d’appareils alimentés par le Linux système d’exploitation, y compris les serveurs de bureau et les caméras connectées à Internet.
BreachTrace a bénéficié d’une aide considérable sur ce projet de la part d’une équipe de chercheurs en sécurité qui ont travaillé en étroite collaboration avec des responsables de l’application des lois enquêtant sur le LizardSquad. Ces chercheurs ont cependant demandé à rester anonymes dans cette histoire. Les chercheurs qui ont participé à ce projet travaillent avec des responsables de l’application des lois et des FAI pour mettre hors ligne les systèmes infectés.
Ce n’est pas la première fois que des membres de LizardSquad créent un botnet. Peu de temps après leur attaque contre Sony et Microsoft, les membres du groupe ont eu la brillante idée de jouer avec le Réseau Tor, un système d’anonymat qui fait rebondir les connexions des utilisateurs entre plusieurs réseaux à travers le monde, cryptant les communications à chaque étape du processus. Leur plan était de mettre en place plusieurs centaines de serveurs pour agir en tant que relais Tor, et d’utiliser d’une manière ou d’une autre cet accès pour saper l’intégrité du réseau Tor.
Ce graphique reflète une forte augmentation des relais Tor à la fin de 2014 lors d’une tentative ratée de la Lizard Squad de jouer avec Tor.
Selon des sources proches de l’enquête LizardSquad, les membres du groupe ont utilisé des cartes de crédit volées pour acheter des milliers d’instances de GoogleLe service d’informatique en nuage de — des ressources informatiques virtuelles qui peuvent être louées à la journée ou plus. Ce stratagème a échoué peu de temps après la mise en place des bots, car Google a rapidement pris conscience de l’activité et a arrêté les ressources informatiques achetées avec des cartes volées.
Un porte-parole de Google a déclaré qu’il n’était pas en mesure de discuter d’incidents spécifiques, notant seulement que « nous sommes au courant de ces rapports et avons pris les mesures appropriées ». Néanmoins, l’incident a été documenté à plusieurs endroits, y compris ce poste Pastebin répertoriant les bots Google qui ont été utilisés dans le schéma ayant échoué, ainsi que un fil de discussion sur la liste de diffusion du projet Tor.
SÉCURITÉ DU ROUTEUR 101
Les routeurs Internet sans fil et câblés sont des appareils grand public très populaires, mais peu d’utilisateurs prennent le temps de s’assurer que ces systèmes intégrés sont bien verrouillés. Ne faites pas la même erreur. Prenez quelques minutes pour passer en revue ces conseils pour renforcer votre matériel.
Pour commencer, assurez-vous de modifier les informations d’identification par défaut sur le routeur. Il s’agit du nom d’utilisateur et du mot de passe qui ont été installés en usine par le fabricant du routeur. La page d’administration de la plupart des routeurs commerciaux est accessible en tapant 192.168.1.1 ou 192.168.0.1 dans la barre d’adresse d’un navigateur Web. Si aucune de ces solutions ne fonctionne, essayez de consulter la documentation sur le site du fabricant du routeur ou vérifiez si l’adresse est répertoriée. ici. Si vous ne le trouvez toujours pas, ouvrez l’invite de commande (Démarrer > Exécuter/ou recherchez « cmd »), puis entrez ipconfig. L’adresse dont vous avez besoin doit être à côté de la passerelle par défaut sous votre connexion au réseau local.
Si vous ne connaissez pas le nom d’utilisateur et le mot de passe par défaut de votre routeur, vous pouvez les rechercher ici. Les laisser tels quels est une très mauvaise idée. La plupart des routeurs modernes vous permettront de modifier à la fois le nom d’utilisateur et le mot de passe par défaut, alors faites les deux si vous le pouvez. Mais il est plus important de choisir un mot de passe fort.
Lorsque vous avez modifié le mot de passe par défaut, vous souhaiterez crypter votre connexion si vous utilisez un routeur sans fil (qui diffuse la connexion Internet de votre modem afin qu’il soit accessible via des appareils sans fil, comme des tablettes et des téléphones intelligents). Onguardonline.gov a publié quelques tutoriels vidéo sur l’activation du cryptage sans fil sur votre routeur. WPA2 est la technologie de cryptage la plus puissante disponible dans la plupart des routeurs modernes, suivie de WPA et WEP (ce dernier est assez simple à craquer avec des outils open source, alors ne l’utilisez pas à moins que ce ne soit votre seule option).
Mais même les utilisateurs qui ont un mot de passe de routeur fort et qui ont protégé leur connexion Internet sans fil avec une phrase de passe WPA2 forte peuvent voir la sécurité de leurs routeurs compromise par des failles de sécurité intégrées à ces routeurs. Le problème est une technologie appelée « Wi-Fi Protected Setup » (WPS) qui est livrée avec de nombreux routeurs commercialisés auprès des consommateurs et des petites entreprises. Selon Wi-Fi Alliance, un groupe industriel, le WPS est « conçu pour faciliter la mise en place et la configuration de la sécurité sur les réseaux locaux sans fil. WPS permet aux utilisateurs typiques qui connaissent peu la configuration Wi-Fi traditionnelle et les paramètres de sécurité de configurer automatiquement de nouveaux réseaux sans fil, d’ajouter de nouveaux appareils et d’activer la sécurité.
Mais WPS peut également exposer les routeurs à des compromis faciles. En savoir plus sur cette vulnérabilité ici. Si votre routeur fait partie de ceux répertoriés comme vulnérables, voyez si vous pouvez désactiver le WPS à partir de la page d’administration du routeur. Si vous ne savez pas si c’est possible ou si vous souhaitez savoir si le fabricant de votre routeur a fourni une mise à jour pour résoudre le problème WPS sur son matériel, vérifiez cette feuille de calcul. Si le fabricant de votre routeur ne propose pas de correctif de micrologiciel, envisagez d’installer une alternative open source, telle que DD-WRT (mon préféré) ou Tomate.
Pendant que vous vous amusez avec les paramètres de votre routeur, envisagez de remplacer les serveurs DNS par défaut du routeur par ceux gérés par OpenDNS. Le service gratuit de la société filtre les demandes de pages Web malveillantes au niveau du système de noms de domaine (DNS). Le DNS est responsable de la traduction des noms de sites Web conviviaux tels que « exemple.com » en adresses Internet numériques lisibles par machine. Chaque fois que vous envoyez un e-mail ou que vous naviguez sur un site Web, votre appareil envoie une demande de recherche DNS à votre fournisseur de services Internet pour aider à acheminer le trafic.
La plupart des internautes utilisent les serveurs DNS de leur FAI pour cette tâche, soit explicitement parce que les informations ont été saisies lors de l’inscription au service, soit par défaut parce que l’utilisateur n’a spécifié aucun serveur DNS externe. En créant un compte gratuit sur OpenDNS.com, en modifiant les paramètres DNS de votre ordinateur et en enregistrant votre adresse Internet auprès d’OpenDNS, la société empêchera votre ordinateur de communiquer avec des sites de logiciels malveillants et de phishing connus. OpenDNS propose également un service de filtrage de contenu pour adultes assez efficace qui peut être utilisé pour bloquer les sites pornographiques sur le réseau de tout un foyer.
Les conseils ci-dessus sur la sécurité du routeur ont été tirés d’un didacticiel plus large sur la façon de rester en sécurité en ligne, appelé « Outils pour un PC plus sûr ».