Quatre sites du gouvernement américain piratés et fermés
Par les vrais pirates...
Quatre sites appartenant au ministère des finances américain (Treasury en anglais) ont été piratés et redirigeaient les internautes vers un site Ukrainien qui se chargeait alors d'attaquer les utilisateurs.
Les domaines concernés étaient bep.gov (pour Bureau of Engraving and Printing), bep.treas.gov, moneyfactory.gov et moneyfactory.com, tous les quatres liés à la création de pièces et de billets. Ils étaient dans l'actualité américaine justement la semaine dernière du fait de la sortie d'un nouveau design pour le billet de 100 dollars. On ignore encore le nombre de personnes exposées au pirate, mais les sites ont depuis hier été mis hors-ligne.
C'est Roger Thompson, un chercheur chez AVG, qui a découvert l'infection ce lundi et l'a rapporté sur son blog. Apparemment le problème vient d'une injection iframe dans le code de ces pages :
Ce code très évasif n'apparaissait qu'aux IP n'ayant pas encore visité ces pages, compliquant la détection de l'attaque.
Cette attaque téméraire aurait été commise par l'intermédiaire des hébergeurs de ces site GoDaddy et Network Solutions, qui s'étaient trouvée exposées à l'intrusion d'un pirate et avaient provoqué la contagion de nombreux sites il y a deux semaines. Selon Dean De Beer, fondateur de zero(day)solutions : « il y a une forte probabilité que ce soit la même personne. Le seul changement est le domaine attaqué ».
Pour avoir plus de détails sur le fonctionnement de l'attaque, allez voir ce post du blog de PandaLabs :
Les domaines concernés étaient bep.gov (pour Bureau of Engraving and Printing), bep.treas.gov, moneyfactory.gov et moneyfactory.com, tous les quatres liés à la création de pièces et de billets. Ils étaient dans l'actualité américaine justement la semaine dernière du fait de la sortie d'un nouveau design pour le billet de 100 dollars. On ignore encore le nombre de personnes exposées au pirate, mais les sites ont depuis hier été mis hors-ligne.
C'est Roger Thompson, un chercheur chez AVG, qui a découvert l'infection ce lundi et l'a rapporté sur son blog. Apparemment le problème vient d'une injection iframe dans le code de ces pages :
Ce code très évasif n'apparaissait qu'aux IP n'ayant pas encore visité ces pages, compliquant la détection de l'attaque.
Cette attaque téméraire aurait été commise par l'intermédiaire des hébergeurs de ces site GoDaddy et Network Solutions, qui s'étaient trouvée exposées à l'intrusion d'un pirate et avaient provoqué la contagion de nombreux sites il y a deux semaines. Selon Dean De Beer, fondateur de zero(day)solutions : « il y a une forte probabilité que ce soit la même personne. Le seul changement est le domaine attaqué ».
Pour avoir plus de détails sur le fonctionnement de l'attaque, allez voir ce post du blog de PandaLabs :
Jeff
le 5 mai 2010 à 17:00
(15 897
lectures)
Actualités et brèves relatives
- 20 / 04 / 2010 : Bataille de fleuristes à coup de Google Maps
- 08 / 04 / 2010 : Le hacker Geohot réinstalle Linux sur une PS3 en version 3.21
- 25 / 03 / 2010 : Hacker Croll : « J’ai voulu passer un message aux Internautes »
- 25 / 03 / 2010 : Le pirate français de Twitter retrouvé et placé en garde à vue
- 18 / 03 / 2010 : 100 voitures piratées et immobilisées à distance au Texas
- 02 / 03 / 2010 : Charlie Miller, vainqueur du Pwn2Own : « N’installez pas Flash »
- 22 / 02 / 2010 : Cyber-attaque Google : accusées, les deux écoles chinoises nient
- 02 / 12 / 2009 : Vendetta, le pirate anti quotas de Belgacom, a été interpellé
