Attaque : Storm Botnet associé au phishing

Arnaud Dimberton,

Le document édité par RSA, la division sécurité d’EMC fait le point sur l’évolution de la fraude en ligne et plus spécifiquement sur le cas « Storm »

Début janvier, le centre de commande anti-fraude de RSA détectait plusieurs attaques de Phishing utilisant comme Proxy un réseau de robots IRC dénommé « Storm Botnet. »

Ces attaques ciblaient des établissements bancaires de premier plan du Royaume-Uni à travers deux serveurs Proxy livrant les contenus aux victimes provenant d’un « vaisseau amiral. »

Le réseau de dissimulation – de type « fast-flux » – véhiculant l’attaque était Storm Botnet, permettant notamment une « rotation » fréquente des adresses IP des serveurs de Proxy auxquels accèdent les victimes. Le domaine de Phishing renvoyait en effet à une adresse différente à chaque tentative d’accès et la plage d’adresses IP utilisée par les serveurs de Proxy était relativement étendue.

Dans les attaques Storm, les serveurs de nom sont enregistrés au sein du domaine – et non à « l’extérieur. » Par exemple : si le site de Phishing est hébergé sur www.stormphish.com, le serveur de nom de ce domaine sera ns1.stormphish. com.

Cette structure empêche les services de lutte contre la fraude d’identifier les autres domaines « servis » par le même réseau de Proxy – contrairement à d’autres réseaux d’hébergement (phishing, code malveillant, etc.) où les domaines additionnels peuvent être tracés.

Dans toutes ces attaques, les domaines utilisés étaient tout à fait fiables et conçus dans un format identique pour perpétrer des attaques contre différents établissements bancaires. Pour deux d’entre eux, les domaines étaient très similaires – indiquant clairement une attaque provenant d’un seul groupe.

Jusqu’à présent, le réseau Storm n’avait jamais été associé à des attaques de Phishing ; il connaît une croissance constante par accumulation de plus en plus de robots (« bots ») sans indication précise de leur fonction.

En phase d’activité, le système est généralement associé à des activités de Spam, des attaques DDoS ou de « simples » infections. Il est également resté en sommeil pendant de longues périodes. C’est la première fois que des attaques de Phishing sont clairement liées à – et hébergées par – les ordinateurs du réseau Storm.

Ces attaques démontrent que le réseau Storm Botnet a la capacité de croître pour devenir une menace potentielle de Phishing bien plus importante qu’il n’est aujourd’hui. Dans un scénario défavorable, Storm pourrait en effet devenir l’infrastructure sous-tendant une nouvelle vague d’attaques de Phishing de type fast-flux.