Le réseau de zombies Pony a récolté 2 millions d’identifiants volés

Qu'est-ce qui est pire ? Trouver deux millions de mots de passe récoltés par des bots ou découvrir que la majorité de ces mots de passe volés est loin d'être robuste. Les experts de Trustwave ont découvert récemment un nouveau contrôleur du réseau de zombies Pony qui contenait près de 2 millions d'informations d'identification de comptes associés à des sites Internet, des boîtes aux lettres ou des comptes FTP, RDP et SSH. La majorité de ces informations permet d'accéder à des services sur Internet très utilisés comme Facebook, Google, Twitter, Yahoo et LinkedIn. La base retrouvée contient également près de 8 000 mots de passe d'accès à des comptes du service de gestion de la paie ADP. 

D'après Daniel Chechik et Anat Davidi, chercheurs chez Trustwave SpiderLabs : "Ce mélange de domaines est tout à fait naturel. Ce qui est surprenant, c'est que ce domaine [adp.com] n'arrive qu'en neuvième position dans la liste. Les profils de Facebook constituent un bon butin pour les individus malintentionnés, mais les comptes de service de gestion de la paie garantissent un revenu financier direct."

Le contrôleur de Pony assure l'interface d'administration du réseau de zombies. Il est doté d'un panneau de configuration qui permet d'accéder aux journaux d'activité, aux statistiques d'infection et qui sert également à réaliser l'inventaire des données volées et de les gérer. Dans la mesure où le code source de Pony avait été diffusé sur Internet au début de cette année, ces contrôleurs et leurs différentes versions sont apparus de plus en plus souvent.

D'après les informations de SpiderLabs, la récente trouvaille affiche clairement une touche russe : les données volées contiennent beaucoup de compte des sites Odnoklassniki et Vkontakte. D'après les statistiques, ce contrôleur gère les connexions depuis plus de 100 pays. La majorité de requêtes provient des Pays-Bas, maisvu que leur source est une seule et même adresse IP, les experts ont émis l'hypothèse qu'il s'agit d'une passerelle entre les ordinateurs infectés et un serveur de commande établi dans ce même pays.

Daniel Chechik et Anat Davidi expliquent que les "individus malintentionnés utilisent souvent des proxy inverses afin de protéger le serveur de commande contre la détection et le blocage. Le trafic en provenance de l'ordinateur infecté affiche uniquement la connexion avec un serveur proxy qui peut être facilement remplacé en cas de déconnexion. Ce comportement est intéressant en soi, mais à cause de cela nous n'avons pas été en mesure d'obtenir plus de détails sur les cibles dans les pays attaqués."

Le vol massif de données d'enregistrements (plus de 318 000 comptes Facebook, près de 60 000 comptes Yahoo et près de 54 400 comptes Google) est un événement désagréable en soi, mais après l'analyse des mots de passe, les chercheurs ont également remarqué, sans grande surprise, que ces mots de passe étaient dans la majorité des cas très simples. Des centaines de milliers d'entre eux n'étaient composés que de lettres ou que de chiffres. Le mot de passe le plus fréquent était la séquence 123456, sept mots de passe du Top 10 des mots de passe les plus utilisés commencent par 13. Le Top 10 compte également password, admin et 111111.

Le niveau de complexité des mots de passe volé laisse aussi à désirer. 34 % d'entre eux ont été considérés comme insuffisants par SpiderLabs : ils sont courts et n'utilisent qu'un seul type de caractères ou une combinaison répandue. Seuls 22 % des mots de passe pouvaient être considérés comme bons et robustes : il s'agit de mots de passe qui utilisent au moins trois types de caractères différents. Les experts résument : "Malheureusement, les mots de passe les plus courants sont ceux qui ne feront certainement pas plaisir à votre responsable du service de sécurité informatique."

http://www.generation-nt.com/botnet-mot-passe-google-facebook-pony-trustwave-actualite-1823342.html

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *