Actu
Opération Chimaera : le groupe de pirate informatique TeamTNT frappe encore
septembre 2021 par Kévin Jacque, expert en architecture et sécurité informatique chez Venafi
Mercredi dernier, des chercheurs en cybersécurité d’AT&T Alien Labs, ont publié un rapport sur une nouvelle campagne « Chimaera ». Repéré pour la première fois l’année dernière, le groupe de « hackers » TeamTNT cible sans discernement plusieurs systèmes d’exploitation. L’opération Chimaera propose l’utilisation d’outils Open Source pour s’emparer des noms d’utilisateurs, des mots de passe et des identifiants des systèmes cloud. Son objectif : utiliser des systèmes infectés pour l’exploitation minière crypto-monnaie, mais plus important encore, Chimaera utilise également l’authentification par mot de passe SSH pour basculer entre les réseaux.
Kévin Jacque, expert en architecture et sécurité informatique chez Venafi, commente cette opération :
« Chimaera n’est qu’un exemple de plus de logiciels malveillants, qui utilisent l’authentification par mot de passe SSH comme élément principal dans la chaîne de destruction, c’est-à-dire de bascule entre les réseaux. Malheureusement, la plupart des organisations n’ont même pas les outils de surveillance de base, nécessaires pour trouver et corriger les clés SSH malveillants. Les pirates informatiques le savent ! C’est d’ailleurs pour cette raison, que les logiciels malveillants qui abusent des SSH ont augmenté de plus de 400% au cours des dernières années.
L’ironie dans tout ça, est qu’il est relativement simple de limiter l’impact de ce type d’attaque en utilisant des pratiques basiques en SSH. La manière la plus évidente, simple et rapide est de désactiver immédiatement l’authentification par mot de passe pour les connexions SSH et d’utiliser plutôt l’authentification par clé publique et/ou certificat SSH ».
