Recette d’un Botnet gratuit et productif dans le Cloud

Pourquoi toujours utiliser des ordinateurs d’innocents pour fabriquer des zombies alors qu’il est si facile d’en avoir autant que l’on souhaite rapidement ? Rob Ragan et Oscar Salazar, chercheurs et consultants en sécurité pour Bishop Fox, ont révélé dans Wired, comment ils ont construit un Botnet à partir de services gratuits de cloud computing : un Cloudbot.

July 30, 2014

Pourquoi toujours utiliser des ordinateurs d’innocents pour fabriquer des zombies alors qu’il est si facile d’en avoir autant que l’on souhaite rapidement ? Rob Ragan et Oscar Salazar, chercheurs et consultants en sécurité pour Bishop Fox, ont révélé dans Wired, comment ils ont construit un Botnet à partir de services gratuits de cloud computing : un Cloudbot.

Easy cloud-based Botnet

Le duo de pirates-chercheurs a utilisé un processus automatisé pour générer des adresses de messagerie uniques et les inscrire sur des comptes gratuits en masse. Il a ainsi assemblé un botnet basé sur le Cloud d’environ un millier d’ordinateurs.

Avec cette horde de zombies, le duo a réussi à lancer des cyberattaques coordonnées, à craquer de mots de passe, ou même extraire des centaines de dollars par jour en crypto-monnaie (Litecoin). Une armée de compte Cloud au lieu d’ordinateurs détournés, pour le duo, cette méthode peut même être reconnue comme légale : « nous avons essentiellement construit un supercalculateur gratuitement, dit Ragan. »

En quelques mots : utiliser FreeDNS.afraid.org pour créer des adresses e-mail réalistes sur plusieurs domaines et en illimité (avec l’aide d’adresses réelles dispersées sur le net après des vols de données), utiliser Python Tissu pour créer plusieurs scripts et contrôler des centaines d’ordinateurs.

Botnet depuis CloudBees ou Amazon Cloud

Google, Heroku, Cloud Foundry, Amazon ou encore CloudBees, ont servi de terrain d’essai parmi les 150 services testés. Un tiers d’entre eux seulement nécessite plus qu’une adresse e-mail. “Un grand nombre de ces entreprises sont des startups qui tentent d’obtenir beaucoup d’utilisateurs aussi rapidement que possible”, a dit Salazar. “Ils ne sont pas vraiment équipés pour se défendre contre ce genre d’attaques.”

Les possibilités d’attaques semblent infinies avec ce système. Les services de cloud computing offrent beaucoup plus de bande passante réseau qu’un ordinateur personnel moyen. Encore plus intéressant, les attaques lancées depuis ces plateformes sont plus difficiles à trouver, “Imaginez une attaque distribuée par déni de service où les adresses IP entrantes sont toutes de Google et Amazon, cela devient un défi. Vous ne pouvez pas mettre toutes ces adresses IP sur liste noire. ”

Légal ?

Si l’utilisation d’un botnet est illégal, la création du réseau de zombies tel quel ne l’est peut être pas. Utiliser des machines en masse pour une capacité de calcul et de traitements data est monnaie courante. Comme les protections juridiques sont encore souvent floues, le duo conseille aux entreprises de mettre en oeuvre leurs propres techniques anti-automatisation.
Le duo se rendra à la conférence ‘The Black Hat à Las Vegas’ en août pour révéler tous les détails de cette méthode. Ils comptent rendre accessible ce logiciel pour créer et contrôler leurs cloudbots, ainsi que les logiciels de défense pour s’en protéger.

Watch video

In the same category