Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

L’enquête sur le piratage de Cisco avance doucement

auteur de l'article Aurélien Cabezon , dans la rubrique Menaces

Commentaires Commentaires fermés sur L’enquête sur le piratage de Cisco avance doucement

Il y a un an, un groupe de sécurité Russe publiait deux fichiers extraits du code source du fameux Cisco IOS (Version 12.3). Environ 800 Mo de ce code source avaient été dérobés au numéro 1 des équipements réseaux. L’enquête progresse et mène les forces de l’ordre en Suède…


Nous savons aujourd’hui que ce vol ne représentait que les prémices d’un piratage d’envergure impliquant des intrusions dans plusieurs milliers d’ordinateurs. Une seule personne ou un groupe restreint d’individus en serait à l’origine.

Après une année d’enquête, cette affaire a amené les investigateurs sur les pistes d’attaques ciblant les ordinateurs de l’armée Américaine, de la NASA et de plusieurs laboratoires de recherche importants. Ce cas démontre bien la facilité avec laquelle il est parfois possible de pénétrer des réseaux d’entreprises ou de gouvernements connectés à internet. Il démontre également à quel point il peut être difficile de remonter à la source des d’attaques.

La chasse au pirate est toujours ouverte, cependant une récente arrestation, en mars dernier, semble amener les enquêteurs sur une piste intéressante. Il s’agit d’un jeune suédois de 16 ans. Les autorités suédoises analysent actuellement les ordinateurs du jeune homme.

Les experts expliquent que l’attaque en elle-même n’avait rien d’innovant, mais que sa complexité résidait dans le fait qu’elle exploite un véritable réseau de machines configurées pour récupérer automatiquement les  » logs  » et mots de passe des ordinateurs piratés, ces machines étant situées dans plus de sept pays.

L’élément majeur qui a permis de voler ces mots de passe et codes chez Cisco et les autres était l’utilisation d’une version corrompue d’OpenSSH.

Le mode opératoire du pirate

Le pirate parcours les réseaux afin de détecter des machines vulnérables et procède systématiquement à l’installation de cette version corrompue d’Openssh. Ainsi, dès que l’administrateur de la machine se connecte, son login et mot de passe sont capturés puis transmis au pirate. L’utilisation de  » rootkit  » aurait également permis de récupérer tous les mots de passe utilisés sur la machine ou pour se connecter à d’autres serveurs voisins.

Avant même d’avoir touché Cisco en mai 2004, l’activité du pirate avait été remarquée une première fois en avril 2004 par Wren Montgomery, chercheur de l’université Berkeley en Californie, qui avait étrangement perdu tous les fichiers de son ordinateur ainsi qu’un an et demi d’archives de courriers électroniques.

L’auteur du piratage de Cisco serait un certain « Stakkato « , également à l’origine d’une attaque à l’encontre de plusieurs sites de l’armée Américaine. Affaire à suivre….


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.