Un tribunal Arménien vient de condamner le créateur du botnet Bredolab, Georgiy Avanesov, à quatre ans de prison selon un rapport de l'agence Armenpress.

Russe et âgé de 27 ans, il a été reconnu coupable de sabotage informatique. Il a commencé à faire fonctionner son botnet en 2009 et l'a utilisé pour organiser des attaques DDoS et pour envoyer jusqu'à 3.6 milliards de spams par jour!
La BBC estime que Avanesov gagné environ 100.000 euros par mois avec Bredolab, également connu sous le nom de Oficla.

En Octobre 2010, des enquêteurs néerlandais ont réussi à prendre le contrôle de 143 serveurs C&C sous l'emprise de Bredolab et à les déconnecter. Les autorités néerlandaises ont travaillé avec un spécialiste en sécurité de l'IT Fox pour traquer Avanesov, ce qui a finalement conduit à son arrestation dans un aéroport de la capitale arménienne d'Erevan. Au moment où il était encore en fonctionnement, le trojan Bredolab a infecté plus de 30 millions de PC sous Windows à travers le monde et était capable d'infecter jusqu'à 3 millions de nouveaux ordinateurs par mois avec des e-mails infectés.

Moi j'trouve que ça fait bien sur un CV :3

Bon ce n'est pas vraiment le LOL du jour mais j'avais envie de mettre cette image qui illustre assez bien la situation. Ce sont des chercheurs de l'Université du Michigan qui ont réussi à modifier le trafic de données mobiles. Ils ont injecté des paquets TCP dans des connexions tierces ce qui leur permet d'effectuer des manipulations telles que l'exécution de Javascript supplémentaire ou la lecture d'une vidéo Youtube lorsque l'utilisateur visite un site web.

L'attaque est décrite dans un document de 15 pages tout de même. Pour injecter des paquets de données, le pirate doit connaître le numéro de séquence TCP du dernier paquet envoyé par le client et celui-ci peut faire jusqu'à 4 octets de long! Mais les chercheurs ont découvert que le pare-feu utilisé par les opérateurs mobiles et/ou constructeurs de smartphones leur donnent un bon coup de main pour trouver cette information.

Le pare-feu en question vérifie le numéro de séquence de tous les paquets TCP entrants et sortants et laisse passer seulement ceux qui ont un numéro de séquence dans une plage utilisée par le client. Tous les autres paquets sont bloqués. Selon les chercheurs, il est relativement facile de déterminer la gamme actuellement utilisée par le client. Un pirate peut alors simplement essayer tous les numéros de séquence au sein de ce bloc.

Deviner les numéros de séquence TCP est un vieux problème. A l'époque, les numéros de séquence étaient toujours incrémentés d'une valeur prévisible, donc bon pas top. Il y a quelques temps, cela a été modifié de sorte que le nombre initial soit sélectionné au hasard. Avec 4,3 milliards de numéros disponibles, c'est presque impossible.

Ici ils ont modifié la connexion d'un smartphone avec une application spéciale

Un des scénarios d'attaque décrits par les chercheurs consiste à modifier le trafic du réseau sur le smartphone en utilisant une application dédiée. Dans l'exemple de la vidéo ci-dessus, en visitant Facebook, le navigateur du smartphone pourrait être utilisé pour afficher une page de phishing.

Sur 150 opérateurs réseaux testés, prés d'un tiers utilisent un pare-feu qui permet de deviner les numéros de séquence assez facilement en utilisant cette technique. L'attaque peut également être utilisée sur d'autres réseaux utilisant ce type de pare-feu. En principe et en supposant qu'il n'y a pas de chiffrement, l'attaque peut être effectuée sur un PC. Mais bon la lecture directe des paquets de données n'est généralement pas possible.

Les experts en sécurité de chez Kaspersky ont découvert une nouvelle version du célèbre banking trojan SpyEye qui cette fois-ci reflète vraiment bien son nom. En effet, cette nouvelle version embarque un plugin qui observe ses victimes en utilisant leurs propres webcams.

Un fichier appelé flashcamcontrol.dll modifie les paramètres de Flash Player sur le système infecté afin que des sites web sous le contrôle du pirate puissent accéder à la caméra et au microphone. Selon Kaspersky, les sites web en question sont des sites bancaires allemands.

Quand un utilisateur visite un de ces sites web, SpyEye embarque un applet Flash dans le code HTML. Il utilise ensuite le protocole réseau RTMP (Real Time Messaging Protocol), qui est un protocole propriétaire de Adobe pour la diffusion de flux de données en streaming, pour envoyer le flux vidéo à un serveur contrôlé par le botnet. Quand au but de ces actions, ce n'est pas tout à fait clair. L'expert en sécurité Dmitry Tarakanov de chez Kaspersky croit que c'est le début d'une attaque plus vaste. Il pourrait par exemple permettre au pirate d'enregistrer les appels téléphoniques de la banque demandant à l'utilisateur de confirmer son code PIN.

Flash Player fournit aux développeurs une interface pour accéder à la webcam. Normalement la première fois qu'un site web tente d'utiliser cette fonctionnalité, Flash demande à l'utilisateur si il autorise ou non l'accès à sa webcam. Mais bon avec SpyEye c'est pas un soucis...

Kaspersky, qui analyse les versions de SpyEye depuis le début de cette année, a jusqu'à présent identifié 35 des plugins qui sont utilisés pour ajouter des fonctionnalités supplémentaires au trojan à la volée. En revanche, le développement du bot d'origine semble avoir cessé. Selon le rapport, il n'y a eu aucune mise à jour depuis la version 1.3.48 d'octobre dernier.

The Pirate Bay, le très populaire et controversé tracker de torrents, a été la cible prolongée d'attaques DDoS d'après leur page Facebook. WikiLeaks a également rapporté qu'il a souffert d'attaques similaires mais je ne sais pas si l'on peut encore rapprocher ces deux cas.

Suite à cette attaque, les premières spéculations ont fusées, dont celle rapportant que l'attaque sur The Pirate Bay était un acte de vengeance de la part du collectif Anonymous après que les membres de The Pirate Bay aient critiqué leurs attaques DDoS sur le FAI britannique Virgin Media bloquant l'accès à leur site. The Pirate Bay a cependant dit que les Anonymous n'étaient pas à blâmer pour ces attaques sur leur site en précisant : "KNOW that it is NOT Anonymous who is behind the ddos attack."

Et pendant ce temps, un ex-Anonymous sous le pseudo de AnonNyre a revendiqué sur Twitter ces attaques à l'encontre de The Pirate Bay. Il n'y a pour l'instant aucune preuve pour confirmer que AnonNyre était réellement derrière ces attaques. Et personne n'a encore revendiqué les attaques sur WikiLeaks. A l'heure actuelle les sites de WikiLeaks et The Pirate Bay sont en ligne.

Des pirates ont lancé une campagne de phishing visant les utilisateurs utilisant le procédé d'identification OpenID afin de voler leurs informations d'identification, selon Barracuda Labs.

Les chercheurs en sécurité Dave Michmerhuizen et Luis Chapetti de chez Barracuda disent qu'ils ont trouvé des pages de phishing qui ressemblent à celles utilisées lors du processus d'identification via OpenID. Lorsqu'un utilisateur se fait piéger, ces informations d'identification sont ensuite envoyées au pirate.

OpenID est un protocole qui permet aux utilisateurs de se connecter à un site web avec les informations d'identification d'un autre site web comme Google, Facebook ou Twitter. Vous imaginez donc bien l'objectif de ce phishing.

Les chercheurs ont indiqué que ce phishing vous renvoie un des deux e-mails suivants. L'un qui dirige les utilisateurs vers un site d'immobilier Australien piraté et l'autre semble être une notification d'UPS et redirige l'utilisateur vers une fausse page d'authentification d'UPS.

www.zdnet.com