Depuis que le code source du contrôleur Pony Botnet a été divulgué, SpiderLabs de Trustwave a traqué la bête avec fascination.
L’intérêt s’est transformé en pure surprise quand les chercheurs ont découvert un serveur de Pony Botnet détenant plus de deux millions de mots de passe et d’identifiants de comptes Facebook, Yahoo, Google, Twitter, LinkedIn, Odnoklassniki (le deuxième plus important réseau social russe) et plus encore.
Contrairement à ce que certaines nouvelles sorties plus tôt ont fait croire, SpiderLabs a déclaré que le lieu géographique des victimes était global (pas uniquement aux Pays-Bas).
Informations générales
SpiderLabs a expliqué qu’ils n’ont pas pu viser de pays en particulier, parce que l’attaquant a utilisé un serveur proxy basé aux Pays-Bas pour pousser la sortie de trafic à partir d’une adresse NL (faisant penser qu’il y aurait 1 049 879 de victimes aux Pays-Bas).
Les chercheurs ont écrit dans Look What I Found : Moar Pony !
(…) la plupart des entrées dans l’intervalle d’adresses IP de NL sont en fait une seule adresse IP qui semble avoir fonctionné comme passerelle ou proxy inversé entre les machines infectées et le serveur de commande et contrôle, qui réside aux Pays-Bas également.
Cette technique d’utilisation d’un proxy inversé est communément utilisée par les attaquants afin d’empêcher que le serveur de commande et contrôle soit découvert et fermé. Le trafic sortant d’une machine infectée montre seulement la connexion au serveur Proxy, ce qui est facilement remplaçable au cas où il est fermé.
Ce comportement est intéressant en tant que tel, mais nous empêche d’en apprendre plus sur les pays visés, s’il y en avait.
Le 9e domaine le plus important à partir duquel les mots de passe ont été volés est Automatic Data Processing, Inc. (ADP), qui est l’un des plus importants fournisseurs de services de gestion de paie à la plupart des 500 entreprises les plus fortunées et au moins 620 000 organisations d’affaires à travers le monde.
Nombre de mots de passe volés par jour
Les domaines les plus touchés par le vol de mot de passe
Statistiques géolocalisation
La longueur et la complexité des mots de passe
Malheureusement, les mots de passe les plus utilisés ne sont pas assez forts. Voici le top 10 de mot de passe fréquemment utilisés:
SpiderLabs a examiné la longueur et la complexité des mots de passe fréquemment utilisés dans les réseaux sociaux et dans les comptes email. Voici ce qu’ils ont trouvé:
L'axe des X ci-dessus décrit les différents types de caractères: lettres majuscules, minuscules, chiffres et caractères spéciaux. Un type signifie qu'un seul type de caractère a été utilisé (par exemple "1234"), deux types se réfère à un mot de passe avec deux types différents de caractères (par exemple "de abc123») et ainsi de suite.
SpiderLabs a également divisé tous les mots de passe dans des groupes en fonction des longueurs de mot de passe.
Étant donné que la longueur et le type de caractères dans un mot de passe constituent sa complexité ultime, SpiderLabs a regroupé ces deux caractéristiques pour obtenir un aperçu général de la force des mots de passe :
Pony Botnet! Un logiciel malveillant avec des conséquences désastreuses
Dans Look What I Found : It’s a Pony ! SpiderLabs explique,
Le but principal de Pony reste le vol: des identifiants de site web volés, des comptes de courriel, des comptes FTP, tout ce qui peut tomber entre ses mains sont récupérés et retransférés au serveur principal.
Les chercheurs décrivent le contrôleur Pony Botnet comme étant un contrôleur de botnet « particulièrement efficace », qui vole des centaines de milliers d’identifiants de ses victimes « quelques jours après » l’infection.
Dans leur découverte initiale du 30 juin, SpiderLabs a trouvé 650 000 identifiants volés, environ 90 000 comptes Facebook, 25 000 comptes Yahoo et 20 000 identifiants de comptes Google.
SpiderLabs a écrit que la découverte du contrôleur Pony Botnet de cette semaine n’était pas une petite attaque, comme ça a déjà été le cas, mais bien un système de génération de revenu rodé.
SpiderLabs a dénombré :
- 1 580 000 identifiants de sites web volés
- 320 000 comptes de courriels volés
- 41 000 identifiants de compte FTP volés
- 3 000 identifiants Connexion à Distance volés
- 3 000 identifiants de comptes Secure Shell volés
Répartition des informations d’identifications volées par navigateur, client de messagerie, et de domaine
Pony Botnet est un logiciel espion / enregistreur de frappe (Key logger) très puissant avec, vous l’aurez deviné, des caractéristiques particulièrement dangereuses. Il enregistre les données sensibles d’utilisateurs provenant de tout type de logiciel.
Notamment, ce cheval de Troie reconnaît Chrome, Firefox, Opera, Internet Explorer, CyberDuck (et plusieurs autres logiciels FTP), Dreamweaver, Windows Mail, Outlook, Rockmelt et autres.
Anecdote amusante : L’icône du contrôleur Pony Botnet n’est pas un des personnages de Ma Petite Pouliche, comme certaines personnes l’ont suggéré, c’est plutôt le Candy Corn Foal du jeu Facebook Farmville développé par Zynga.
Résumé : SpiderLabs de Trustwave a mis la main sur un serveur de contrôle Pony Botnet qui détenait plus de deux millions de mots de passe et des identifiants pour le logiciel de gestion de paie ADP, Facebook, Twitter, Yahoo et autres, appartenant à des victimes à travers le monde.
Jeu de briques
Snake
Pacman
Bubble