CERT-XMCO : Imperva publie une étude d’une attaque conduite par le groupe Anonymous
mars 2012 par CERT-XMCO
* Imperva’s Hacker Intelligence Summary Report - The Anatomy of an Anonymous Attack
– Date : 09 Mars 2012
– Criticité : Moyenne
– Description :
La société Imperva a publié un rapport présentant les résultats de l’analyse d’une attaque menée par le groupe d’hacktivistes Anonymous.
Imperva s’est appuyé sur les logs conservés par le firewall applicatif de la société ciblée par l’attaque afin d’étudier les méthodes employées par les pirates. Ces informations ont été corrélées avec les supports de communication diffusés publiquement sur Internet par le collectif avant et après l’attaque, afin d’analyser l’approche générale du groupe.
Selon Imperva, l’attaque était décomposée en 3 phases majeures.
La première phase, d’une durée de 18 jours, a été dédiée à la communication en vue de recruter des participants et de promouvoir les actions à venir du collectif. Le groupe s’est massivement appuyé sur les médias sociaux (Twitter, Facebook et YouTube principalement) afin de parvenir à ses fins.
Des membres expérimentés, peu nombreux, ont ensuite procédé à une reconnaissance des infrastructures de leur cible. Pendant 4 jours, ces pirates disposant de connaissances techniques relativement approfondies ont tenté d’identifier des failles au sein des applications web de leur victime afin d’en extraire des informations. Ne parvenant pas à s’introduire sur les sites ciblés, ils ont ensuite cherché à identifier des vecteurs d’attaque permettant de mettre à mal la disponibilité des applications ciblées.
Selon Imperva, les techniques d’attaques majeures employées par les pirates à ce stade étaient l’injection SQL, le "Cross-Site Scripting" (XSS) et le Directory Traversal.
Suite à cette identification, les membres qualifiés ont demandé l’appui des personnes recrutées lors de la première phase pour conduire une attaque de type déni de service distribué (DDoS). Divers modes opératoires ont été utilisés pour tenter de rendre indisponibles les applications web sur une durée de 2 jours. Imperva relève notamment la participation de terminaux mobiles lors de cette tentative de déni de service. L’attaque a finalement échoué.
Imperva conclut son analyse en précisant les clés de la protection des applications web : disposer d’un pare-feu applicatif conjugué à des audits de sécurité et des revues de code.
En complément, nous ne pourrions que recommander de prendre également en considération la sécurité en amont des projets par une mise en oeuvre des bonnes pratiques en matière de développement sécurisé et un durcissement des socles sur lesquels sont installées ces applications. Ceci passe inévitablement par une sensibilisation et une formation des intervenants impliqués.
– Référence :
http://www.imperva.com/docs/HII_The_Anatomy_of_an_Anonymous_Attack.pdf
– Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0380