Avec l’appui de la Shadowserver Foundation, une organisation à but non lucratif spécialisée dans la collecte de données sur les menaces informatiques, les chercheurs en sécurité de WatchTowr Labs ont découvert plus de 4 000 backdoors (ou portes dérobées en français) à travers le web. Ces failles cachées ont été placées par des cybercriminels sur des serveurs web, avant d’être abandonnées. Elles n’étaient plus utilisées activement, mais elles étaient toujours opérationnelles.
Pour mémoire, une porte dérobée est un logiciel malveillant installé sur un site web ou un serveur pour offrir un accès clandestin aux cybercriminels. Elle permet d’exécuter des commandes à distance, voler des données ou installer d’autres malwares. En l’occurrence, les pirates utilisaient des domaines Internet pour transmettre des instructions aux portes dérobées. Ces domaines avaient expiré.
Des portes dérobées démantelées
Après avoir découvert les failles, les chercheurs ont pris la décision de démanteler toute l’infrastructure afin que d’autres hackers se servent des portes dérobées. Pour y parvenir, ils ont racheté tous les domaines laissés par les pirates. De facto, ils ont pu intercepter les communications des portes dérobées, et en prendre le contrôle. Concrètement, les chercheurs ont pu rediriger toutes les communications vers des serveurs sécurisés.
« Nous avons pris le contrôle de portes dérobées (reposant sur une infrastructure désormais abandonnée ou sur des domaines expirés) qui étaient elles-mêmes intégrées au sein d’autres portes dérobées », explique le rapport des chercheurs de WatchTowr Labs.
À partir de là, les experts de WatchTowr Labs ont réussi à déterminer une partie de la liste des victimes de la cyberattaque. Selon eux, les portes dérobées ont notamment été déployées sur des serveurs web appartenant à des agences gouvernementales ou des universités à travers le monde, particulièrement en Thaïlande, en Corée du Sud et en Chine. Des tribunaux et des agences chinoises ont d’ailleurs été piratés.
À lire aussi : une fuite de données « cauchemardesque » est en cours – la localisation de millions de smartphones a été compromise
Des cybercriminels financés par des gouvernements
Tout porte à croire que les backdoors ont été implémentées par des cybercriminels financés par un gouvernement. L’une des backdoors est d’ailleurs associée à Lazarus, un des groupes criminels mandatés par la Corée du Nord. Les pirates se sont spécialisés dans le vol de cryptomonnaies au cours des cinq dernières années.
Ils sont particulièrement connus pour avoir orchestré le hack de Ronin Network en 2022, qui s’est soldé par la disparition de 624 millions de dollars d’actifs numériques. Aux dires de WatchTowr Labs, la porte dérobée a probablement été réutilisée par d’autres cybercriminels depuis l’insertion par Lazarus :
« Il est peu probable que nous ayons surpris Lazarus en pleine action, étant donné le profil des cibles. Cependant, il est probable que nous observions d’autres attaquants qui réutilisent des outils développés par Lazarus à des fins personnelles ».
Tout porte à croire que les backdoors ont été placées par une large panoplie de pirates, avec des niveaux de compétences variés. Selon les experts, on peut s’attendre à ce que d’autres portes dérobées de cet acabit soient découvertes dans un avenir proche.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : WatchTowr Labs
