Des chercheurs de Sophos ont découvert une nouvelle attaque d’une chaîne d’approvisionnement. Le soi-disant ‘cloud snooper’ se présente comme un paquet inoffensif qui permet de traverser le pare-feu d’AWS.
L’attaque exploite un ‘rootkit’ en vue de faire passer des paquets à travers le pare-feu d’AWS et ainsi installer un cheval de Troie sur les serveurs ‘cloud’ du client. Ce dernier peut ensuite à son tour être invoqué à distance par de possibles hackers. Le ‘rootkit’ (kit-racine) donne ainsi aux agresseurs le contrôle du serveur, mais laisse aussi le malware communiquer lui-même avec les serveurs command-and-control des intrus.
Il s’agit là d’un nouveau type d’attaque, qui a été découvert par des chercheurs de Sophos lors de l’inspection de serveurs d’infrastructures ‘cloud’ EC2 Linux et Windows infectés sur AWS. Selon Sophos, l’attaque semble avoir été lancée par un pays.
“La ‘firewall policy’ de ces serveurs n’était pas mauvaise, mais pouvait être meilleure”, précise Chet Wisniewski, chercheur en chef chez Sophos. Les assaillants avaient en effet intégré leur activité dans du trafic HTTP et HTTPS. “Le malware était suffisamment sophistiqué que pour être malaisément détectable, même avec une politique de sécurité stricte au niveau du pare-feu”, poursuit-il. “C’était comme faire entrer un loup dans la bergerie du trafic existant.”
“C’est la première fois que nous observions une attaque combinant une technique de bypass à une charge utile multi-plate-forme, ciblant les systèmes tant Windows que Linux. Les équipes de sécurité IT et les administrateurs de réseaux doivent rapidement faire en sorte de corriger tous les services externes pour empêcher que les pirates ne contournent la politique de sécurité dans le nuage et le pare-feu”, affirme Sergei Shevchenko, threat research manager chez SophosLabs, dans un communiqué de presse. “C’est une question de temps, avant que davantage de cybercriminels recourent à ces techniques.”
On ne sait pas quelles organisations ont été victimes de cette attaque, mais Sophos signale que cette dernière fait partie d’une campagne ciblant certains objectifs via la chaîne d’approvisionnement.
Sophos Labs révèle l’attaque dans un rapport étoffé, accompagné d’une illustration dont nous ne voulons pas vous priver.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici