HostExploit: la Russie mène une fois de plus le classement des ressources polluées

L’organisation non commerciale HostExploit a publié un rapport sur l’activité malveillante dans les réseaux AS à l’issue du 4e trimestre 2012. Ce document présente en général un Top 50 des hôtes/réseaux et un Top 10 des pays présentant une concentration élevée de contenu dangereux. Pour le troisième trimestre consécutif, c’est la Russie qui arrive en tête de ce triste classement.

Pour rappel, le système de classement mis au point par HostExploit inclut une multitude de paramètres et tient compte non seulement du nombre d’objets malveillants sur les serveurs, mais également du total d’adresses IP dans le système AS. Les auteurs du rapport tiennent à signaler à chaque fois que les hôtes et réseaux qui figurent dans le Top 50 ne sont en général pas liés à des activités criminelles. La publication chaque trimestre de ces listes poursuit un seul objectif : attirer l’attention sur les problèmes dont le fournisseur d’accès ne soupçonne peut-être même pas l’existence et l’amener à adopter des mesures.

Pour la période octobre-décembre 2012, la première place du Top 50 revient au petit réseau hollandais Ecatel (AS2073), une place qu’il a déjà occupé à plusieurs reprises. La deuxième position est occupée par le modeste hébergeur russe Ideal Solution (AS58001), enregistré aux Seychelles. Les individus malintentionnés utilisent les ressources de cet hébergeur principalement pour diffuser du courrier indésirable et administrer des réseaux de zombies, dont ZeuS. Le Top 10 compte également d’importants opérateurs comme Beltelekom (Bélarus, 3e position) et OVH Systems (France, 5e position), ainsi que le fournisseur allemand Hetzner Online (6e position). Dans le Top 50, les Etats-Unis comptent 13 positions, contre 8 pour la Russie.  

Le grand service de messagerie en ligne russe Mail.ru domine largement la catégorie « Sites infectés ». D’après les estimations d’HostExploit, le nombre d’URL malveillantes sur les possessions de cette société a sensiblement augmenté au cours du trimestre et elle a fait son entrée dans le Top 50 directement en 10e position.  Dans le Top 10 des sites infectés, on retrouve également des noms connus comme Amazon.com (4e position) et Google (7e position).

Au cours de la période couverte par le rapport, les chercheurs ont identifié 132 centres d’administration de divers réseaux de zombies. La première position du Top 10 pour cet indice est occupé par le fournisseur moscovite IQ Host (AS50465), dont les ressources furent utilisées activement il y a 1,5 ans par les gestionnaires de ZeuS. En deuxième position, nous trouvons une nouvelle entrée : SOTAL Interactive (AS61322), spécialisé dans la télévision IP et l’offre de contenu. Ce réseau AS russe compte un faible volume d’adresses IP (256) enregistrées en Ukraine et ses opérations d’hébergement sont réalisées en dehors de la Russie.

En tête de la catégorie « Centre de commande de ZeuS », nous voyons la société russe Ideal Solution (AS58001) dont les réseaux abritaient quatre serveurs de commande. La Russie détient 3 positions sur les 10 du classement.

Aucune société indienne ne figure dans le Top 10 pour le courrier indésirable alors que l’Inde avait fourni la moitié du Top 10 au trimestre précédent. La liste est dominée désormais par un modeste hébergeur ukrainien nommé FOP Smovskaya Valentina Ivanovna (AS197774), suivi par le géant des télécommunications bélarusse Beltelekom. Les diffuseurs de courrier indésirable exploitent également activement les ressources d’autres grands opérateurs comme Kazakhtelecom (4e position) et Telefonica del Peru (7e position). La société hollandaise CB3ROB (AS34109), connue sous le nom de Cyberbunker, crée la surprise en prenant la 3e position. Son nom a été cité récemment en rapport avec une puissante attaque DDoS menée contre l’organisation de lutte contre le courrier indésirable Spamhaus. 

Quatre positions du Top 10 pour le phishing, dont les deux premières, reviennent à des réseaux AS américains. Google figure à nouveau en 7e position.

Comme nous l’avons déjà dit, la Russie occupe à nouveau la première place du Top 10 de l’activité malveillante globale. Ce pays arrive en effet en tête des catégories « Sites infectés », « Badware (logiciels espions, logiciels publicitaires, faux antivirus, PUP, etc.). La Russie occupe également la deuxième position en terme de concentration de centres de commande de réseaux de zombies. La Russie est suivie par la Bélarus (1re place pour le courrier indésirable) qui compte de nombreux sites infectés et de phishing. La 3e position revient à l’Ukraine, qui progresse depuis sa 5e position au trimestre précédent. Les réseaux AS ukrainiens occupent la 2e position en terme de courrier indésirable et comptent de nombreux centres de commande de réseaux de zombies, dont ZeuS. Les îles Vierges reviennent dans le Top 10 (1re position pour les codes d’exploitation), tout comme les Etats-Unis qui avaient disparu de cette liste pendant trois trimestres. Au 4e trimestre, HostExploit a détecté dans les réseaux AS américains de nombreux sites infectés et de nombreux serveurs de commande de ZeuS. Le classement géographique est obtenu en tenant compte du nombre total d’adresses IP et du nombre d’incidents pour l’ensemble des réseaux AS de chaque pays.

Ce rapport trimestriel a été rédigé en coopération avec les experts de la société russe Group-IB, les Danois de CSIS et la société allemande Cyscon. Le Top 50 des « mauvais » hébergeurs et réseaux est obtenu suite à l’analyse de plus de 43 000 systèmes autonomes enregistrés. Le rapport complet est disponible en anglais et en allemand.

Source:

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *