Suivi des centres de données criminels

Le contenu Web malveillant est de plus en plus diffusé par des criminels professionnels qui exploitent leur propre infrastructure. Ces escrocs dirigent des sociétés d'hébergement qui sont utilisées pour héberger du code nuisible et envoient des commandes aux ordinateurs piratés. Lors d'une conférence donnée cette semaine à Source Boston , une conférence sur la sécurité informatique, un chercheur a décrit les tactiques utilisées par une telle société d'hébergement malveillante pour éviter d'être fermée.





Alors que le spam et les logiciels malveillants peuvent sembler être en quantité infinie en ligne, les sociétés d'hébergement malveillantes jouent un rôle essentiel dans la propagation de ces parasites, explique Alex Lanstein, chercheur principal en sécurité chez FireEye , une entreprise de sécurité basée à Milpitas, en Californie. Par exemple, il évoque la fermeture fin 2008 de la société d'hébergement malveillant McColo. Lorsque cette seule entreprise a cessé ses activités, plus des deux tiers des pourriels sur Internet ont cessé.

Cependant, d'autres sociétés ont pris la place de McColo. En particulier, Lanstein pointe vers un pool d'ordinateurs compromis, ou botnet, connu sous le nom de Grum, qui, à certains points culminants de l'année dernière, était responsable de 26% des spams dans le monde. Lanstein dit qu'il a retracé les opérations de Grum jusqu'à un bloc d'adresses de protocole Internet (IP) hébergé par une seule société en Ukraine appelée SteepHost.

Lanstein a découvert que les adresses IP commandant Grum étaient réparties sur toutes les adresses gérées par SteepHost, ce qui, selon lui, indique que l'entreprise fonctionne uniquement comme un centre de données criminel.



Mais il est loin d'être facile de faire tomber une société d'hébergement malveillante. Lanstein dit qu'il a contacté les entreprises fournissant des services à SteepHost. Ils ont bloqué certaines des adresses IP malveillantes utilisées par l'entreprise, mais Lanstein note que SteepHost a répondu en contractant une connexion de sauvegarde auprès d'un autre fournisseur. Ils ne voulaient pas être fermés et ils ont donc obtenu un meilleur transit, dit-il. C'est frustrant.

Même lorsqu'une société d'hébergement malveillante est fermée, rien n'empêche une autre de se lever pour la remplacer. Les méchants sont vraiment doués pour obtenir de l'espace IP, dit Lanstein.

Le problème, dit-il, est qu'il n'y a pas de mécanismes en place pour retirer les adresses IP des mauvais acteurs. Même les blocs d'adresses IP appartenant à McColo n'ont été remis au pool qu'il y a quelques mois, car ils ne pouvaient pas être confisqués tant que les propriétaires restaient entièrement payés pour leur utilisation. Je peux imaginer pourquoi il y a des pénuries d'adresses IP, dit Lanstein.



Les hébergeurs malveillants se protègent aussi parfois en se cachant derrière d'autres entreprises. Plus tôt cette année, un fournisseur de services Internet russe appelé Troyak a été mis hors ligne après qu'il est devenu clair qu'il fournissait des services à plusieurs sociétés d'hébergement qui fournissaient un support de commande et de contrôle aux botnets.

Chez Source Boston, HD Moore, directeur de la sécurité pour la société de sécurité informatique basée à Boston Rapide7 , a prononcé un discours dans lequel il a souligné à quel point l'espace d'adressage IP est encombré : 91 % de l'espace d'adressage utilisable a déjà été alloué.

Moore a noté qu'un problème différent pourrait émerger comme effet secondaire des efforts pour résoudre la pénurie. Le successeur du système actuel, connu sous le nom d'IPv6, ouvrirait un grand nombre d'adresses IP disponibles. Dans ce scénario, a déclaré Moore, il y aurait tellement d'espace disponible que les sociétés d'hébergement malveillantes pourraient récupérer de gros blocs d'adresses IP, ce qui serait plus difficile à suivre.



cacher