Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Nexus Zeta, de suspicion en certitude ! Analyse de Check Point

juillet 2020 par Check Point

Il y a deux ans de cela, nous avons publié l’histoire intéressante de Nexus Zeta,ou comment un pirate débutant a réussi à créer un botnet gigantesque. Le pirate a créé une chaîne d’attaque impressionnante qui comprenait plusieurs étapes, allant de l’exploitation d’une vulnérabilité zero-day (CVE-2017-17215) découverte dans le mécanisme UPnP (Universal Plug and Play) des routeurs personnels Huawei HG532 jusqu’à la création d’une importante infrastructure de bot utilisée pour des attaques DDoS.

Dans cette publication, nous avons également révélé des informations détaillées sur le pirate connu sous le nom de Nexus Zeta, en nous appuyant sur les preuves pertinentes trouvées dans notre analyse. Suite à notre publication, Nexus Zeta a été arrêté et traduit en justice. La semaine dernière, l’annonce de la condamnation de Nexus Zetas à 13 mois de prison a été très visiblement reprise par les médias. Cette histoire fournit une autre leçon opportune sur l’importance de l’analyse des menaces pour sécuriser le paysage informatique.

Une campagne à plusieurs niveaux

Notre méthodologie d’analyse des menaces comporte plusieurs couches et s’appuie sur différentes ressources, dont nos capteurs dans le monde entier. Nous effectuons des recherches en continu pour analyser le paysage des menaces, mener des sessions d’approfondissement sur les vulnérabilités et les attaques, et développer plusieurs couches de sécurité pour protéger nos clients dans un délai approprié.

Étape 1 : Identification des nouvelles menaces en recherchant des anomalies dans le trafic
La première étape de nos recherches a consisté à analyser les anomalies dans le trafic et les alertes de sécurité pour y repérer des activités et des méthodes d’attaque. Nous avons détecté un trafic massif ciblant le port UPnP utilisé dans les routeurs Huawei, et nous avons réussi à approfondir notre compréhension du vecteur d’attaque et de son activité.

Étape 2 : Analyse de la menace
L’étape suivante consistait à démêler la chaîne d’attaque, depuis l’infection initiale jusqu’à l’activité du botnet et ses fonctionnalités. Les attaques devenant de plus en plus sophistiquées, la possibilité de retracer chaque phase importante est cruciale. Dans notre cas, nous avons analysé le flux vulnérable de la communication du routeur, et avons effectué des recherches sur le code malveillant téléchargé ainsi que ses communications avec son serveur de commande et de contrôle.

Étape 3 : Compréhension de l’impact global
La troisième étape portait sur l’évaluation de l’impact de l’attaque et des méthodes d’atténuation. Ce type d’attaque peut avoir de graves conséquences, comme par exemple frapper l’infrastructure d’une entreprise via une attaque massive de déni de service (DDoS), entraînant l’arrêt des activités critiques.

Étape 4 : Rapprochement de l’auteur des menaces
La quatrième étape consistait à contextualiser la campagne dans le cadre de son auteur. Nous avons pu dresser un tableau des techniques et des motivations des attaques, ce qui nous a permis de compléter les pièces manquantes du puzzle. En analysant minutieusement chaque élément d’information associé, nous avons réussi à découvrir un lien entre les serveurs de commande et de contrôle et l’adresse email de Nexus Zeta. Il s’avère que Nexus Zeta était un membre actif du forum de piratage Hack Forums. Nous avons découvert son avatar, et en étudiant son activité sur le forum et les réseaux sociaux, nous avons pu découvrir beaucoup d’informations sur la motivation et les activités du pirate.
Au vu de la sophistication de la campagne, nous nous attendions à trouver une équipe de pirates professionnels, voire des cybercriminels sponsorisés par un État. La réalité était cependant différente, car les preuves ont plutôt révélé un acteur moins professionnel, dont la véritable identité a finalement été révélée par des pirates rivaux deux mois plus tard en utilisant des informations de notre rapport.
Nexus Zeta s’est avéré être Kenneth Currin Schuchman, âgé de 20 ans et résidant à Vancouver dans l’État de Washington aux États-Unis. Cela a été confirmé par Krebs, à partir d’un « dox » complet publié par un auteur anonyme Pastebin en février 2018. Le dox précisait que Schuchman utilisait les alias Nexus Zeta et Caleb Wilson, et énumérait toutes les adresses email liées à Nexus Zeta ci-dessus, ainsi que ses données financières et son adresse physique.

Figure 3 : Le compte Twitter de Nexus Zeta

Lutte contre la cybercriminalité

Check Point Research fournit aux clients de Check Point et à l’ensemble de la communauté de la sécurité des informations sur les principales cybermenaces. Nous sommes fermement résolus à contribuer à la protection contre les cybermenaces sans cesse croissantes afin de rendre le paysage informatique plus sûr. La publication de détails sur les activités malveillantes, du point de vue des techniques et des acteurs qui se cachent derrière, est un moyen pertinent d’atteindre nos objectifs, comme le montre le cas de Nexus Zeta.


Voir les articles précédents

    

Voir les articles suivants