par | 10 Nov 2020

5 choses à savoir sur KashmirBlack, le botnet qui pirate les CMS

À l’instar de la Covid-19, un virus informatique sévit aussi depuis 2019 en s’attaquant à des CMS vulnérables, pour compromettre des dizaines de milliers d’adresses web à travers le monde. Son nom : KashmirBlack, un botnet dont le but est de constituer un « réseau zombie » pour propager des malwares et extraire illégalement de la cryptomonnaie. La solution CyberProtection 360° intègre un mécanisme de défense pour garantir la sécurité des sites Internet et serveurs e-commerce des PME.

C’est quoi un botnet ?

Un botnet est à l’informatique ce que le zombie est à notre imaginaire collectif. Sauf qu’en matière de cybersécurité, le botnet est bel et bien une réalité. Né de la contraction des termes « robot » et « network », un botnet est un réseau d’ordinateurs infectés et contrôlés à distance par un serveur C&C pour mener des cyberattaques de grande ampleur. Il permet de mener une attaque par déni de service, une campagne de spam ou de vol de données ou encore de propager des programmes avec des charges malveillantes diverses. Dans le cas du botnet KashmirBlack, l’intérêt est de mettre en réseau plusieurs ordinateurs afin d’augmenter la puissance de calcul dans une optique de cryptojacking.

Les cibles : WordPress, Joomla et Drupal mais aussi PrestaShop, Magento et osCommerce

2. Qui se cache derrière cette attaque informatique ?

Imperva, une société californienne spécialisée en cybersécurité, a enquêté sur KashmirBlack jusqu’à remonter à son créateur soupçonné, un hacker indonésien connu sous le pseudo Exect1337. Il appartient à PhantomGhost, une organisation qui prospère dans un pays concentrant la majorité des cybercriminels de la planète Le botnet se composerait d’un serveur de Commande et de Contrôle (C&C) et s’appuierait sur plus d’une soixantaine de serveurs de substitution. Il aurait même migré vers Dropbox pour camoufler son activité et continuer de se propager en toute discrétion.

3. Quels sont les CMS visés par KashmirBlack ?

Le botnet KashmirBlack exploite des failles de sécurité connues des CMS standards du marché rapportent les experts d’Imperva. Le mois dernier, ils ont identifié seize failles utilisées par KashmirBlack, et aucun CMS ne semble à l’abri : les plus utilisés (WordPress, Joomla, Drupal) comme ceux dédiés aux e-commerçants (PrestaShop, Magento, osCommerce). Outre la vulnérabilité bien connue PHPUnit RCE (CVE-2017-9841), les cyberattaques visent tout particulièrement les failles des plug-ins et des thèmes des CMS. Déjà en mars dernier, Clubic rapportait une vague de hacking ciblant WordPress. Le leader du marché concentrait 90% du piratage des CMS en 2018 d’après Sucuri, un autre spécialiste américain de la cybersécurité.

4. Quelles conséquences pour les sites infectés ?

KashmirBlack mène trois types d’attaques informatiques :

  • la redirection malveillante du trafic des sites web infectés vers des pages de spam afin de procéder au vol des données confidentielles des internautes ;
  • l’extraction de cryptomonnaie grâce au minage illégal (le cryptojacking), c’est-à-dire l’utilisation non autorisée des ressources de calcul des serveurs compromis pour la création de monnaie virtuelle Monero ;
  • la défiguration de sites internet, par exemple pour afficher des messages politiques hostiles à la France dans le contexte international tendu autour du terrorisme islamiste.

Votre site web ou e-commerce tourne au ralenti ? Vous êtes peut-être infecté

5. Comment se protéger de KashmirBlack ?

La plupart du temps, les propriétaires des sites internet et serveurs intégrés à un réseau zombie ne s’aperçoivent de rien, l’infection ayant été effectuée discrètement. Tout juste peuvent-ils s’apercevoir d’un ralentissement de leur serveur. Le meilleur moyen de ne pas rejoindre à son insu les rangs du botnet est d’appliquer les correctifs de sécurité publiés par les éditeurs le plus rapidement possible. Cela passe par une mise à jour en temps en réel de son CMS afin de réduire son exposition. Mais il demeure un risque lié aux exploits « zero-day », ces cyberattaques qui ciblent des failles non encore identifiées par les éditeurs.

Un solution comme CyberProtection 360° est capable d’empêcher l’exploitation des failles de sécurité des CMS par le botnet KashmirBlack. Pour cela, OZON a développé le « patching virtuel web », qui permet d’éviter l’exploitation des failles des CMS même lorsque les correctifs de sécurité ne sont pas appliqués. Pour connaître le niveau de vulnérabilité de votre site internet ou e-commerce en trois minutes, utilisez notre service de diagnostic en ligne CyberCheck PME.

Share This