Cyber-escarmouches visant les USA et la Corée

Politique - Stratégie - Posté on 09 Juil 2009 at 11:47 par cnis-mag

badboy69Depuis plus de 5 jours,les USA et la Corée du Sud sont la cible d’une série d’attaques en déni de service. La FTC (Federal Trade Commission) et Usauctionslive en ont notamment fait les frais. Ce jeudi matin, Usauctionslive n’avait toujours pas repris une activité normale et demeurait inaccessible. Une dépêche de l’Associated Press précise que d’autres administrations fédérales ont essuyé des attaques assez violentes pour bloquer 100 % des ressources des serveurs. Ainsi l’administration des Transports, des Finances, les Services Secrets, le DHS, le Département d’Etat, la Maison Blanche, le DoD, le Nyse, le Nasdaq et… le Washington Post. Les premiers signes d’activité auraient été détectés dès le 4 juillet, date de la fête nationale US. Bob McMillan, de CSO online USA dresse un bilan des dégâts mais n’indique aucune source probable de cette cyber-guerre. A lire également l’article d’une « victime » de renom, Brian Krebs du Washington Post, qui, lui aussi, se perd en conjectures. Les seules traces, pourtant ténues, laissent penser que ces assauts sont d’origine asiatique (sans autre précision… Nord coréennes, Chinoises… ou se faisant passer pour). Les chercheurs de Tistory.com dressent, de leur côté, une liste plus exhaustive des sites Coréens touchés par ce blitz. On y retrouve sans surprise le Web de la Présidence, l’équivalent de USauctionLive, quelques banques et instituts financiers…

Selon AhnLab, un éditeur d’antivirus Coréen, le botnet d’attaques compterait près de 18 000 machines. D’autres professionnels de la sécurité, tant Américains que Français, auraient jusqu’à présent constaté deux choses : un accroissement des infections MyDoom, et une très nette augmentation des attaques en « persistance TCP » très proches –voir strictement identiques- à l’exploit décrit dans le tout dernier numéro 66 du magazine Phrack accompagné du PoC Nkiller2. Nkiller, tout comme Slowloris de Rsnake, utilise un mécanisme d’attaque visant à maintenir « ouverte » une connexion tcp. Avec très peu de moyens, et en multipliant des requêtes simples, une machine zombie de faible puissance peut générer assez de demandes de trafic pour faire « tomber » n’importe quel serveur par saturation mémoire.

Laisser une réponse