Posté le octobre 12, 2021 à 20:10
ARRESTATION D’UN OPÉRATEUR DE BOTNET DDOS EN UKRAINE AVEC 100 000 APPAREILS COMPROMIS
Les autorités ukrainiennes ont arrêté un hacker soupçonné d’être à l’origine de la création et de l’exploitation d’un « puissant réseau de zombies ». Les autorités ont déclaré que le hacker avait développé le botnet en utilisant plus de 100 000 dispositifs compromis pour mener une attaque par déni de service distribué (DDoS). Le dispositif était également utilisé pour mener des attaques de spam.
Les autorités ont déclaré que l’individu en question est originaire de la région d’Ivano-Frankivsk en Ukraine. Ledit hacker avait l’habitude de mener ces attaques pour le compte de clients payants ; il était donc comme un lien entre les entreprises et les hackers.
Suspicion d’attaques DDoS
Le mode opératoire de cet hacker consistait à utiliser le réseau automatisé pour identifier les faiblesses des sites Web. Une fois la vulnérabilité détectée, l’acteur de la menace s’est ensuite introduit sur ces sites Web et a lancé une attaque par force brute pour deviner les mots de passe de messagerie de différents comptes.
Selon la police ukrainienne, l’opération d’arrestation de ce suspect a eu lieu dans la résidence du suspect. Le raid sur la résidence a permis de découvrir des éléments de preuve tels que du matériel informatique qui serviraient à prouver qu’il utilisait ces gadgets pour mener des activités de cybercriminalité.
Un communiqué de presse du Service de sécurité de l’Ukraine indique en outre que ce hacker recherchait « des clients sur les forums fermés et les chats Telegram et que les paiements étaient effectués via des systèmes de paiement électronique bloqués. »
Les autorités ont également déclaré que le suspect utilisait Webmoney pour les paiements et la plateforme de paiements instantanés qui a déjà été interdite en Ukraine et fait l’objet de sanctions imposées par le Conseil de sécurité nationale et de défense. Toutefois, ce qui est intéressant, c’est que ce suspect a utilisé sa véritable adresse pour créer le compte Webmoney, ce qui a permis aux forces de l’ordre de trouver et de perquisitionner son domicile.
Les attaques DDoS en hausse
Cette arrestation intervient alors que le nombre d’attaques DDoS dans différents pays est en augmentation. Quelques semaines avant l’arrestation du suspect, Rostelecom-Solar, une société de cybersécurité basée en Russie et filiale de la société de télécommunications Rostelecom, a déclaré avoir détecté et empêché une attaque DDoS.
Dans une déclaration publiée à la fin du mois de septembre, Rostelecom-Solar a indiqué qu’elle avait « sinkholed » une partie importante du botnet Meris DDoS. Ce botnet aurait compromis environ 250 000 hôtes dans son réseau.
La société a déclaré avoir évalué les appareils infectés en interceptant et en analysant les commandes utilisées par les hackers pour prendre le contrôle des appareils. Le résultat de cette analyse indique que la société a pu détecter 45 000 dispositifs de réseau. En outre, l’emplacement géographique a également été détecté, après quoi la société de cybersécurité les a isolés du botnet.
L’enquête a également révélé que plus de 20 % des dispositifs compromis étaient basés au Brésil. L’Ukraine, l’Indonésie, la Pologne et l’Inde ont également signalé qu’une partie importante de leurs dispositifs avaient été compromis par l’attaque DDoS.
Le rapport de Rostelecom indique en outre que le botnet Meris est principalement constitué de matériel Mikrotik, que l’on trouve fréquemment chez les particuliers qui utilisent Internet. Des versions spécifiques de ce logiciel malveillant contiennent des failles que les hackers peuvent exploiter pour accéder aux appareils. Une fois que les hackers ont le contrôle des appareils, ils les combinent en un seul réseau contrôlé à partir d’un seul endroit ou de plusieurs endroits.
Les États-Unis ont également été victimes d’attaques DDoS. En septembre, Bandwidth.com, une entreprise de services de voix sur IP (VoIP), a déclaré avoir subi une panne après que plusieurs rapports aient fait état d’une attaque DDoS.
Le PDG de Bandwidth, David Morken, a publié une déclaration sur cette panne, indiquant qu’elle était due au fait que plusieurs fournisseurs de services de communication essentiels étaient visés par une série d’attaques DDoS.
Dans une déclaration publiée par Morken au sujet de l’attaque, il a déclaré : « Bien que nous ayons atténué les dommages intentionnels, nous savons que certains d’entre vous ont été considérablement affectés par cet événement. J’en suis sincèrement désolé. Vous nous faites confiance pour vos communications vitales. Il n’y a rien de telle pour cette équipe ».
Quelques semaines avant que l’attaque DDoS de Bandwidth ne soit rendue publique, VoIP.ms, un fournisseur de VoIP basé au Canada, a également subi une attaque DDoS massive avec demande de rançon qui a duré plusieurs semaines. L’attaque a été attribuée au groupe de hackers REvil qui a exigé 4,5 millions de dollars pour mettre fin à l’attaque.
La portée et la nature des attaques DDoS évoluent pour devenir plus régulières et avoir des effets plus perturbateurs. Les attaques DDoS de ransomware sont également en augmentation. En août, Cloudflare a déclaré avoir arrêté la plus grande attaque DDoS du mois de juillet. Cloudflare a déclaré que la tentative d’attaque avait émis 17,2 millions de requêtes par seconde, ce qui était trois fois plus important que toutes les attaques DDoS qu’il avait signalées.
