RETEX d’une attaque de mineurs

Mon premier article sur LinkedIn pour parler de la dernière attaque subie de la part d’un groupe de mineurs/hackers. L’attaque est certainement liée au lancement d’un nouveau site Web https://beewoo.fr. Très probablement que les lancements de nouveaux Web avec la création de nouveaux noms DNS sur Internet déclenchent des réactions automatiques :). Donc le nouveau site en question a rapidement été sniffé par plusieurs sources dans le monde, d’abord depuis les USA et l’Europe puis rapidement depuis l’Asie.

Parmi les attaques et tentatives, les Hackers ont essayé de passer par les logiciels suivants:

• TELNET
• SSH

En utilisant les users classiques à savoir :

• install
• css
• alex ??? - probablement le prénom d'un hacker qui s'est planté de clavier :)
• admin
• test
• supervisor
• root
• www-data => les accès sont passés par là

A noter que les mineurs semblent privilégier les Web localisés sur des Datacenters reconnus car ces derniers permettent d’industrialiser le hacking. Pour revenir au sujet, il s’agissait pour eux de miner du bitcoin MONERO via un serveur hollandais 5.255.86.129 :

par un dénommé STAK qui dispose du Wallet n° 483fnPjXwX75xmkaJ3dm4vVGWZLHn3GDuKycHypVLr9SgiT6oaZgVh26iZRpwKEkTZCAmUS8tykuwUorM3zGtWxPBFquwuS. J’ai bien essayé de décoder la clé d’accès (4AuyELtjmHvMgmZ6qCQ9SncPNmXuBVd2 ?) pour vérifier si les fonds sont conséquents ;) mais il faudrait plus de temps pour le reverse engineering type gdb du fameux paquet TTP :)

Bref, en quelques jours, et au plus fort de l’activité de mes « nouveaux amis », j’ai répertorié 196 différentes origines d’attaques sur Internet. Voici des extraits des localisations répertoriées :