CZ.NIC enregistre un renforcement des attaques par force brute contre Telnet

D’après des informations fournies par l’opérateur du domaine national tchèque, le nombre de tentatives d’accès à distance avec attaque par force brute contre les mots de passe Telnet a sensiblement augmenté à la fin du mois de mai pour atteindre le triple des attaques similaires contre SSH. Au cours des mois suivants, le flux malveillant sur les pièges Telnet mis en place par CZ.NIC a quelque peu diminué, mais il représente malgré tout le double du niveau du printemps. Il semblerait que l’activité principale provient de routeurs domestiques et de caméras de vidéosurveillance ; tout indique que les individus malintentionnés construisent de nouveaux réseaux de zombies (par exemple, pour organiser des attaques DDoS) ou agrandissent les réseaux existants.

D’après les chercheurs tchèques, aussi bien Telnet que SSH sont utilisés dans le cadre de l’interaction à distance avec des appareils. Ils offrent tous les deux un accès via une console et pour cette raison, ils sont appréciés des individus malintentionnés potentiels. Toutefois, au cours des dernières années, le protocole SSH mieux protégé est devenu la norme de facto pour ce genre de connexion. Les auteurs des attaques par force brute le savent très bien et ils choisissent généralement ce service comme cible. L’augmentation sensible des tentatives d’ouverture de session dans Telnet est un phénomène extraordinaire et les chercheurs de chez CZ.NIC ont décidé d’analyser la question.

Tout d’abord, ils ont remarqué une hausse sensible du nombre d’adresses IP d’où sont lancées les attaques. « Nous sommes arrivés à un moment où la norme quotidienne est passée de 30 000 adresses IP uniques à 100 000, voire plus » écrit Bedřich Košata dans le blog de CZ.NIC. Dans le classement par pays, on peut voir que le plus gros trafic d’attaque par force brute provient de la Chine, du Brésil, d’Inde, de Taiwan et du Vietnam. L’augmentation de l’activité d’IP individuelles a également été observée, mais ce phénomène reste discret.

Le moteur de recherche Shodan a permis de confirmer que sur les 6,5 millions d’adresses IP impliquées dans les attaques par force brute, plus de 1,8 millions. (un peu plus de 27 %) sont associées à des serveurs HTTP et RTSP intégrés. L’activité la plus vive provient des serveurs RomPager et gSOAP dépassés et vulnérables utilisés par les routeurs domestiques, ainsi que des serveurs H264DVR 1.0 et des serveurs de Dahua Technology, fréquents parmi les caméras de vidéosurveillance.

A l’heure actuelle, CZ.NIC dénombre près de 20 000 nouveaux adresses IP qui génèrent du trafic malveillant. Afin que les utilisateurs puissent vérifier si leurs appareils sont compromis par la cybercampagne actuelle, les chercheurs ont lancé le service en ligne AmIaHacked.turris.cz. Quels que soient les résultats de cette vérification, Bedřich Košata recommande également de limiter l’accès des appareils intelligents à Internet en les plaçant derrière un pare-feu.

Fonte: CZ.NIC

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *