Georgia government sites hacked (and spreading malware)

– Date : 15 Fevrier 2010

– Gravité : Moyenne

– Description :

Suite aux attaques menées par les pirates informatiques en 2008 et dont la Géorgie a été victime, il semblerait que les infrastructures de celle-ci ne soient toujours pas sécurisées.

En effet, les chercheurs de la société "Sucuri Security" qui surveillent l’activité sur Internet grâce à de multiples pots de miel ont pu observer que les serveurs du gouvernement géorgiens servaient de relais public pour héberger des malwares ainsi que des scripts déposés par des pirates afin de pouvoir attaquer d’autres cibles.

Les attaques sur les pots de miels de la société ont débuté le 12 janvier par des RFI (Remote File Inclusion) depuis le site www.psg.gov.ge. Par la suite, les serveurs www.justice.gov.ge, moh.gov.ge, mail.justice.gov.ge ont servi à mener toutes sortes d’attaques en utilisant les nombreux scripts et outils hébergés. On pouvait ainsi trouver sur les sites un fichier contenant les identifiants de connexion au bot C&C contrôlant un botnet, des outils de flooding, un "remote shell", ainsi qu’un proxy.

Enfin, il semblerait que le site soit surveillé de près, puisque le répertoire a été vidé de son contenu suite à l’annonce faite sur la liste de diffusion Full Disclosure.

– Référence :

http://blog.sucuri.net/2010/02/georgia-government-sites-hacked-and.html

http://seclists.org/fulldisclosure/2010/Feb/295

– Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=1266254015