L’un des principaux facteurs influençant le rang SEO d’une page web est le nombre d’autres sites contenant des liens renvoyant à cette page, ainsi que le propre rang des sites référents. Il existe donc un intérêt non négligeable, sur le plan financier et publicitaire, à compter le plus possible de sites respectables et fréquentés qui pointent vers la page à promouvoir. Dans le cas de la campagne étudiée par le rapport HII, les auteurs des attaques ont piraté des sites web ou pris le contrôle d’ordinateurs afin de créer des liens illicites pointant vers les sites web de leurs clients. Les chercheurs de l’IDC ont ainsi découvert un piratage des systèmes de gestion de contenu de sites web vulnérables, destiné à créant de faux blogs comportant des liens qui renvoient vers des pharmacies en ligne afin d’en améliorer le rang SEO. La campagne d’attaques SEO identifiée par Imperva est persistante, durant depuis de nombreux mois et faisant la promotion de dizaines de sites web – sans doute ceux des clients rétribuant les auteurs des attaques – dont la plupart sont des sites illégaux ou de vente de médicaments.

Afin d’amplifier le nombre de sites web piratés, les auteurs des attaques utilisent des botnets, c’est-à-dire des réseaux d’ordinateurs et d’autres équipements télécommandés à distance (des « zombies ») infectés par un malware. Les pirates peuvent créer leurs propres botnets voire en louer sous forme de service. Les cybercriminels pilotent les botnets à distance pour leur propre compte, à l’insu des propriétaires des machines, dans le but de lancer des attaques de typeinjection SQL (SQLi), insertion de liens HTML et spam sous forme de commentaires qui exploitent les vulnérabilités de sites réputés et de leurs système de gestion de contenu. Ces failles leur permettent de créer des liens vers les pages dont ils entendent faire la publicité de manière illicite afin d’en améliorer le classement sur les moteurs de recherche. Plus de 700 hôtes (adresses IP) ont été utilisés par le botnet en question, au cours de la période étudiée dans le rapport HII, pour le lancement d’attaques SQLi et HTML.

« Des outils d’attaque automatique – des robots malveillants – sont déployés chaque seconde pour mener des attaques de grande ampleur contre des sites web, attaques dont les plus élaborées font appel à un réseau distribué de robots », explique Amichai Shulman, cofondateur et CTO d’Imperva. « S’il est courant de voir des campagnes comprenant de multiples variantes d’un même vecteur d’attaque (par exemple du spam sous forme de commentaires destinés à améliorer le référencement des sites à promouvoir) il est plus rare d’observer une campagne multivecteur de longue durée utilisant le même botnet. »

« Ce type d’attaque peut avoir un impact potentiel sur l’expérience client d’un site web légitime et son image de marque, voire perturber le fonctionnement de certaines applications du site », ajoute-t-il. « Ces attaques SQLi peuvent servir à sonder le terrain pour des attaques plus graves à venir. Les sites web peuvent être vus comme des voies d’accès à des données critiques, c’est pourquoi les propriétaires de ceux qui ont été la cible d’attaques SQLi devraient s’en inquiéter d’autant plus que celles-ci sont souvent utilisées pour le vol de données. Cela doit servir de piqûre de rappel concernant l’acharnement des cybercriminels et la nécessité de renforcer la sécurité des sites web. »

Le rapport complet est téléchargeable ici.