Oracle et WiFi public : l’épidémie de crypto-minage s’étend

Les pirates ont trouvé une nouvelle poule aux œufs d’or : les crypto-monnaies. Pour cela, il faut utiliser les ressources des PC ou des serveurs. Site web, WiFi public ou serveurs d’application, rien n’échappe à l’appât du gain.

Plusieurs affaires montrent que le début 2018 sera marqué par la montée en puissance du minage caché de crypto-monnaies. L’alerte avait été donnée à la fin 2017 où certains utilisateurs avaient vu la performance de leur PC ralentir. En cause des malwares cachés sur les sites et capables de générer de la monnaie virtuelle (Bitcoin ou Monero) en utilisant les ressources des PC. Aujourd’hui, les pirates varient les plaisirs en s’attaquant à d’autres vecteurs.

Avec Coffeeminer, les points d’accès WiFi passent à la caisse

Premier exemple, le WiFi public peut-être enrôlé pour miner de la monnaie virtuelle. Un développeur, connu sous le pseudo Arnau Code, a réalisé le PoC d’une attaque, Coffeeminer, de type MiTM (man in the middle) sur des points d’accès WiFi public. Il a réussi non seulement à tirer bénéfice des PC utilisateurs connectés au réseau WiFi public, mais également la puissance du point d’accès lui-même. Pour se faire, le spécialiste a utilisé une technique d’usurpation d’ARP (Address Resolution Protocol) via la librairie dnsniff.

En complément, il s’appuie sur un outil mitmproxy, permettant d’analyser le trafic et dans le cas présent d’injecter le mineur à travers un code javascript dans les pages HTML. Le mineur en question est bien connu CoinHive. Le test mené marche parfaitement et peut être reproduit dans n’importe quelle configuration, dans un café, dans une gare, etc.

Les serveurs WebLogic ont mauvaise mine

Autre exemple, les serveurs WebLogic d’Oracle. Selon les experts de SANS Technology Institute et de Morphus Labs, un groupe de pirates a réussi à la fin de l’année 2017 à générer plus d’un quart de million de dollars sur des serveurs d’applications WebLogic. Pour mener à bien leur exploit, les attaquants se sont servis d’une faille référencée, CVE-2017-10271, et ciblant les serveurs WebLogic. Une vulnérabilité affichant un score de gravité de 9,8 sur 10 et corrigée à l’occasion du Critical Patch trimestriel (octobre 2017).

Reste que les experts sont intrigués sur l’option choisie par les pirates. Ils ont en effet préféré miner de la cryptomonnaie plutôt que de voler des données sensibles des entreprises. Car les chercheurs de Morphus Lab ont constaté que la compromission s’étendait aux plateformes de gestion PeopleSoft, s’installant au-dessus des instances WebLogic. En minant en arrière-plan, l’objectif était clairement de récolter un maximum de monnaie virtuelle sur un temps long. Les attaquants ont privilégié deux cryptomonnaies : AEON (pour 6000 dollars) et Monero (pour 226 000 dollars).

Ce type d’attaques a de quoi inquiéter, car elles touchent les entreprises et non les particuliers. En se camouflant sur des serveurs, les mineurs peuvent passer inaperçus pendant un long moment et générer une quantité non négligeable de monnaies virtuelles. A moins d’avoir des solutions de sécurité capables d’analyses comportementales, les DSI et RSSI vont avoir du mal à découvrir ces mineurs de l’ombre.

Photo credit: portalgda on Visualhunt /  CC BY-NC-SA

 

Auteur : Jacques Cheminat

Journaliste pendant 15 ans sur les thématiques, télécoms, réseaux, datacenter, stockage, sécurité, virtualisation, etc..., j'ai choisi d'ouvrir ce blog pour écrire sur tous les sujets IT, les tendances et mes humeurs.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s