Secu
Le cryptojacking, la nouvelle plaie de sécurité des entreprises
Par Jacques Cheminat, publié le 18 février 2018
En l’espace de quelques mois, les malwares installant des logiciels capables de générer de la monnaie virtuelle ont explosé. Ils touchent de plus en plus les entreprises à tous les niveaux, serveur Oracle, Jenkins et même les systèmes industriels.
Personne n’est épargnée. Le cryptojacking se diffuse de manière virale en touchant maintenant les entreprises. A la différence des ransomwares, ici pas de blocage, ni de rançon, le malware s’installe dans le système pour ensuite utiliser les ressources informatiques afin de créer de la monnaie virtuelle. Bitcoin, Monero ou Zcash, ces crypto-monnaies sont en plein boom et affichent des valeurs astronomiques. De quoi susciter l’intérêt des cybercriminels à la recherche des cibles disposant de suffisamment de ressources de calcul. Et parmi les objectifs, les entreprises sont devenues en quelques mois de parfaites victimes.
Serveurs WebLogic et Jenkins touchés
Au début janvier 2018, première alerte avec une offensive sur les serveurs WebLogic d’Oracle. Selon les experts de SANS Technology Institute et de Morphus Labs, un groupe de pirates a réussi à la fin de l’année 2017 à générer plus d’un quart de million de dollars sur des serveurs d’applications WebLogic. Pour mener à bien leur exploit, les attaquants se sont servis d’une faille référencée, CVE-2017-10271, et affichant un score de gravité de 9,8 sur 10. Les chercheurs ont été étonnés que les pirates ne se cantonnent qu’au minage de crypto-monnaie, alors qu’ils auraient pu s’emparer de données sensibles de l’entreprise.
Plus récemment, une autre branche de l’entreprise a été touchée : les développeurs. Les analystes de Check Point ont découvert une attaque massive sur les serveurs Jenkins, dédiés à l’intégration continue et au déploiement des application web. Les pirates ont utilisé une vulnérabilité dans l’intégration de la désérialisation Java de Jenkins leur permettant d’exécuter du code malveillant sans avoir besoin de s’authentifier au départ. Le minage a duré plusieurs mois et le montant généré de Monero est estimé 10 800 soit au cours actuel, environ 3,4 millions de dollars.
Systèmes de contrôle industriel, etc…
Plus grave, le cryptojacking s’invite dans les systèmes de contrôle industriel. Un logiciel de minage de monnaie virtuelle a été découvert chez un opérateur chargé de la distribution d’eau, basé en Europe. Le premier maillon à avoir été infecté est l’interface homme-machine (HMI) puis le réseau SCADA, fonctionnant sous Windows XP. Pour mémoire, cet OS ne reçoit plus de mises à jour de sécurité (sauf paiement d’une extension très onéreuse) depuis avril 2014. Le code malveillant découvert minait du Monero. En abusant des ressources du serveur, il a un impact non négligeable sur les temps de réponses des systèmes de contrôle du réseau sur des problèmes opérationnels. Cela s’apparente à du sabotage.
Le phénomène de cryptojacking ne s’arrête pas là. Des chercheurs ont déjà découvert des menaces sur PHP, Ruby on Rails ou Microsoft IIS. Des experts de Trend Micro ont mis en avant des failles dans la base de données NoSQL, CouchDB, qui ouvrent la voie à du minage de monnaie virtuelle. En tout cas plus personne est à l’abri…