C’est une drôle d’affaire qui est arrivée à l’expert en cybersécurité, Brian Krebs. Ce dernier a été obligé de se défendre de ne pas avoir « piraté votre serveur MS Exchange ». Des informations ont suggéré qu’un individu avait compromis plus de 21 000 systèmes de messagerie Microsoft Exchange Server dans le monde, les infectant avec un malware renvoyant à Brian Krebs et à son site web KrebsonSecurity. « Mettons les choses au clair dès maintenant : Ce n'était pas moi », a déclaré le journaliste d'investigation spécialisé dans la cybersécurité, dans un billet de blog.
Ce dernier poursuit en indiquant que l'organisation à but non lucratif la Shadowserver Foundation, qui aide les propriétaires de réseaux à identifier et à corriger les menaces de sécurité, a déclaré avoir identifié 21 248 serveurs Exchange différents qui semblaient compromis par une porte dérobée et qui communiquaient avec le domaine brian[.]krebsonsecurity[.]top - qui n'est pas un domaine sûr.
Le 26 mars, l’association a repéré une tentative d'installation d'une porte dérobée dans des serveurs Exchange compromis, et dans chaque hôte piraté, la backdoor était installée au même endroit, selon Brian Krebs. « Les honeypots de Shadowserver ont vu plusieurs hôtes équipés de la porte dérobée Babydraco faire la même chose : exécuter un script Microsoft Powershell qui récupérait le fichier « krebsonsecurity.exe » à partir de l'adresse Internet 159.65.136[.]128 », a encore expliqué le journaliste. « Le fichier KrebsonSecurity installe également un certificat racine, modifie le registre du système et indique à Windows Defender de ne pas analyser le fichier », a aussi déclaré Brian Krebs.
Surfer sur la vague d’attaques contre les serveurs Exchange
L’utilisation abusive de son nom et de son image par des attaquants n’est pas nouvelle pour cette figure de proue de la communauté des chercheurs en cybersécurité. Selon David Watson, membre de longue date et directeur de la Shadowserver Foundation Europe, le fichier KrebsonSecurity va essayer d'ouvrir une connexion chiffrée entre le serveur Exchange et l'adresse IP susmentionnée, lui envoyant un petit volume de trafic chaque minute. En gros, Shadowserver a trouvé plus de 21 000 systèmes Exchange Server sur lesquels la porte dérobée Babydraco était installée. Cependant, on ne sait pas combien de ces systèmes ont également exécuté le téléchargement secondaire du domaine malveillant KrebsonSecurity.
Commentaire