La plateforme de dénonciation cryptome.org a été piratée et utilisée pour propager des programmes malveillants (malwares). C'est via un billet que l'administrateur John Young a annoncé le problème.
Pour ceux qui ne connaissent pas Cryptome, c'est en gros l'ancêtre de WikiLeaks même si il est encore très actif. Ce site est hébergé aux États-Unis et contient des milliers de documents sensibles ou censurés par divers gouvernements depuis 1996. L'administrateur du site est John Young, un architecte de New York.
Pour en revenir au problème, des inconnus ont eu accès au serveur et ont utilisé le toolkit Black Hole 12 pour infecter toutes les pages HTML (quelques milliers). Un toolkit de ce type identifie le navigateur du visiteur ainsi que son système d'exploitation avant de tester une série de vulnérabilités pour ensuite injecter du code malveillant sur son système.
Dans le cas présent, Black Hole semble avoir été configuré pour attaquer uniquement Internet Explorer. Un fichier de log contenant environ 2900 adresses IP a été trouvé sur le serveur et peut donner un ordre d'idée du nombre de systèmes infectés...
L'équipe de Cryptome n'a pas encore trouvé comment les assaillants ont pu pénétrer le serveur mais ont publié un extrait inoffensif du code malveillant pour demander de l'aide à l'analyser. Quelques suggestions ont déjà été proposées et un utilisateur a suggéré que l'attaquant a peut-être utilisé l'interface WebDAV pour modifier les fichiers HTML ce qui est fort possible.
En ce moment, toute l'équipe est occupée à la désinfection des fichiers concernés mais 80% d'entres eux sont déjà de retour en ligne.
MISES A JOUR DE L'ARTICLE |