Publié par UnderNews Actu - Télécharger l'application Android

D’après une nouvelle analyse de F5 Labs1, les cyberattaques qui frappent l’Europe émanent davantage de l’intérieur de ses frontières géographiques que de toute autre région du monde.

Tribune F5 Labs – Ce constat s’appuie sur une étude du trafic d’attaque à destination des adresses IP européennes entre le 1er décembre 2018 et le 1er mars 2019, de même que sur une comparaison avec les tendances observées aux États-Unis, au Canada et en Australie.

Principaux pays à l’origine des attaques

Les systèmes déployés en Europe sont ciblés par des adresses IP du monde entier. En examinant une carte mondiale, le F5 Labs a découvert que les pays originaires des attaques en Europe étaient analogues à ceux visant l’Australie et le Canada, mais différents de ceux s’attaquant aux États-Unis (qui subissent beaucoup moins d’attaques en provenance d’adresses IP européennes que l’Europe).

Les Pays-Bas se classent en tête des 10 premiers pays à l’origine des attaques, devant les États-Unis, la Chine, la Russie, la France, l’Iran, le Vietnam, le Canada, l’Inde et l’Indonésie. Les Pays-Bas ont lancé 1,5 fois plus d’attaques contre des systèmes européens que les États-Unis et la Chine réunis, et six fois plus que l’Indonésie.

Principaux réseaux (ASN) et FAI à l’origine des attaques

Le réseau néerlandais de HostPalace Web Solution (ASN 133229) est celui qui a lancé le plus grand nombre d’attaques, suivi par le Français Online SAS (ASN 12876). Vient ensuite NForce Entertainment (ASN 43350), lui aussi néerlandais. Ces trois entreprises sont des hébergeurs Web dont les réseaux apparaissent régulièrement dans les listes F5 Labs des principaux réseaux d’acteurs malveillants5.

72 % des ASN1 d’attaque répertoriés appartiennent à des fournisseurs d’accès Internet. 28 % à des hébergeurs Web. Dans le cadre de son analyse, F5 Labs a également identifié les 50 premières adresses IP qui s’attaquent à l’Europe2. Aussi les entreprises sont-elles désormais exhortées à vérifier leurs logs réseau afin de détecter les connexions émanant de ces adresses IP. De la même manière, les propriétaires de réseaux doivent enquêter sur les éventuelles violations imputables à ces adresses IP.

Principaux ports ciblés

L’examen des principaux ports ciblés4 a permis à F5 Labs d’établir le type de systèmes dans la ligne de mire des attaquants.

En Europe, le port 5060 est celui qui a subi le plus d’attaques. Il est utilisé par le service SIP (Session Initiation Protocol) pour la connectivité VoIP (Voice over IP) aux téléphones et aux systèmes de vidéoconférence. L’analyse du trafic d’attaque visant une destination spécifique lors d’événements mondiaux majeurs, tels que les récents sommets entre Donald Trump et Kim Jung Un ou encore Vladimir Poutine, montre que ce port est systématiquement pris pour cible. Le port 445, dédié à Microsoft Server Message Block (SMB), est le deuxième le plus attaqué, devant le port 2222, couramment utilisé en tant que port Secure Shell (SSH) non standard.

Bien se protéger

Au vu de ses recherches, F5 recommande aux entreprises de procéder à des analyses de vulnérabilité externes constantes afin d’identifier les systèmes exposés publiquement et de déterminer sur quels ports.

Il convient de bloquer les ports les plus sujets aux attaques sur tous les systèmes exposés publiquement (par exemple le port Microsoft Samba 445, ou les ports SQL 3306 et 1433) ou de mettre en place des mesures de gestion des vulnérabilités. Les applications Web qui reçoivent du trafic sur le port 80 doivent en outre être protégées au moyen d’un pare-feu pour applications Web (WAF), être continuellement analysées pour détecter les éventuelles vulnérabilités et se voir appliquer en priorité des mesures de gestion des vulnérabilités, notamment, sans s’y limiter, la correction des bugs et l’installation de correctifs.

F5 Labs constate également un grand nombre d’attaques par force brute* sur les ports prenant en charge des services d’accès tels que SSH. C’est pourquoi toutes les pages de connexion publiques doivent disposer de mécanismes de protection adéquats contre ce type d’attaques.

Sara Boddy, directrice de la division Threat Research chez F5 Labs explique :

« Les administrateurs réseau et les ingénieurs en sécurité doivent passer en revue les logs réseau afin d’identifier toutes les connexions vers les principales adresses IP à l’origine d’attaques. Dès lors qu’une entreprise subit des attaques émanant d’une de ces adresses IP, elle doit porter plainte pour violation auprès des FAI et des propriétaires des ASN de manière à ce qu’ils procèdent à la mise hors service de ces systèmes d’attaque ». 

Sara Boddy ajoute :

« Concernant le blocage des adresses IP, l’établissement de longues listes de blocage peut se révéler difficile, tout comme le blocage d’adresses IP de FAI offrant des services Internet à des abonnés susceptibles de figurer parmi ses clients. Dans ces cas de figure, un appareil IoT infecté à l’insu de son propriétaire sera probablement utilisé comme système d’attaque et ne sera sans doute jamais désinfecté. Bloquer l’intégralité du trafic d’ASN ou de FAI peut poser problème pour la même raison. Le blocage de tout leur réseau empêcherait des clients d’engager des relations commerciales avec son entreprise. Sauf s’il s’agit d’un FAI desservant un pays dans lequel son entreprise n’exerce pas d’activités. Dans ce cas, le blocage géolocalisé au niveau d’un pays peut être un moyen efficace de filtrer un grand volume de trafic d’attaque et d’épargner à son système un traitement inutile. Il est par conséquent préférable de bloquer le trafic en fonction du schéma d’attaque sur ses pare-feu réseau et WAF. »

###

1En collaboration avec son partenaire en renseignement sur les menaces, Baffin Bay Networks, F5 Labs a entrepris d’étudier le paysage mondial des attaques afin d’en avoir un meilleur aperçu, région par région, et d’identifier les similitudes et les différences en matière d’attaquants et de ports ciblés. Cette série de documents de recherche s’intéresse aux attaques survenues au cours d’une même période de 90 jours en Europe, aux États-Unis, au Canada et en Australie.

2Les 50 principaux ASN d’attaque (par ordre décroissant, en fonction du nombre d’attaques).

ASN

ASN Organization

Country

Industry

133229

HostPalace Web Solution PVT LTD

Netherlands

Hosting

12876

Online S.a.s.

France

Hosting

43350

NForce Entertainment B.V.

Netherlands

ISP

16276

OVH SAS

France

Hosting

36352

ColoCrossing

United States

ISP

4134

Chinanet

China

ISP

50113

MediaServicePlus LLC

Russia

ISP

56005

Henan Telcom Union Technology Co., LTD

China

Hosting

45899

VNPT Corp

Vietnam

ISP

17974

PT Telekomunikasi Indonesia

Indonesia

ISP

4837

CNCGROUP China169 Backbone

China

ISP

44244

Iran Cell Service and Communication Company

Iran

ISP

3462

Data Communication Business Group

Taiwan

ISP

7552

Viettel Corporation

Vietnam

ISP

197207

Mobile Communication Company of Iran PLC

Iran

ISP

58271

FOP Gubina Lubov Petrivna

Ukraine

Hosting

8048

CANTV Servicios

Venuzuela

ISP

4766

Korea Telecom

South Korea

ISP

12880

Information Technology Company (ITC)

Iran

ISP

18403

The Corporation for Financing & Promoting Tech…

Vietnam

ISP

6739

Vodafone Ono, S.A.

Spain

ISP

45090

Shenzhen Tencent Computer Systems Company Limited

China

ISP

9121

Turk Telekom

Turkey

ISP

206792

IP Khnykin Vitaliy Yakovlevich

Russia

ISP

23650

CHINANET jiangsu province backbone

China

ISP

9829

National Internet Backbone

India

ISP

31549

Aria Shatel Company Ltd

Iran

ISP

8151

Uninet S.A. de C.V.

Mexico

ISP

49877

RM Engineering LLC

Russia

Hosting

12389

PJSC Rostelecom

Russia

ISP

9299

Philippine Long Distance Telephone Company

Philippines

ISP

4812

China Telecom (Group)

China

ISP

4808

China Unicom Beijing Province Network

China

ISP

8452

TE Data

Norway

ISP

16125

UAB Cherry Servers

Lithuania

Hosting

29073

Quasi Networks LTD.

Netherlands

Hosting

60999

Libatech SAL

Lebanon

ISP

31034

Aruba S.p.A.

Italy

Hosting

9498

BHARTI Airtel Ltd.

India

ISP

7922

Comcast Cable Communications, LLC

United States

ISP

44050

Petersburg Internet Network ltd.

Russia

ISP

60781

LeaseWeb Netherlands B.V.

Netherlands

Hosting

42590

Telemost LLC

Ukraine

Hosting

393406

Digital Ocean, Inc.

United States

Hosting

43754

Asiatech Data Transfer Inc PLC

Iran

Hosting

23969

TOT Public Company Limited

Thailand

ISP

18881

TELEFÔNICA BRASIL S.A

Brazil

ISP

16509

Amazon.com, Inc.

United States

Hosting

55577

Atria Convergence Technologies pvt ltd

India

ISP

4230

CLARO S.A.

Brazil

ISP

 Remarque : l’ASN 29073 de Quasi Networks, un hébergeur « bulletproof » (pare-balles) bien connu qui n’a pas répondu aux plaintes pour violation,n’est plus attribué depuis le 24 mars 2019.

3Les 50 principales adresses IP qui se sont attaquées à des destinations en Europe entre le 1er décembre 2018 et le 1er mars 2019 :

Les entreprises doivent vérifier leurs logs réseau afin de détecter les connexions émanant de ces adresses IP, et les propriétaires de réseaux doivent enquêter sur les éventuelles violations imputables à ces adresses. Les réseaux associés à ces adresses IP apparaissent dans la liste des principaux ASN d’attaque, mais ces adresses IP d’attaque sont spécifiques à l’Europe, excepté deux : 62.210.83.136 et 46.166.151.117.

Source IP

ASN Organization

ASN

ISP

Country

23.249.175.100

ColoCrossing

36352

Net3

United States

42.51.231.67

Henan Telcom Union Technology Co., LTD

56005

CNISP-Union Technology (Beijing) Co.

China

194.63.142.249

MediaServicePlus LLC

50113

MediaServicePlus LLC

Russia

37.49.231.160

HostPalace Web Solution PVT LTD

133229

Estro Web Services Private Limited

Netherlands

37.49.231.132

HostPalace Web Solution PVT LTD

133229

Estro Web Services Private Limited

Netherlands

62.210.84.142

Online S.a.s.

12876

Free SAS

France

185.53.88.46

Vitox Telecom 

209299

 

 Estonia

185.254.122.17

UGB Hosting OU

206485

 

Russia

37.49.231.188

HostPalace Web Solution PVT LTD

133229

Estro Web Services Private Limited

Netherlands

167.114.1.144

OVH SAS

16276

OVH Hosting

Canada

185.40.4.42

MediaServicePlus LLC

50113

MediaServicePlus LLC

Russia

62.210.83.56

Online S.a.s.

12876

Free SAS

France

167.114.208.173

OVH SAS

16276

OVH Hosting

Canada

37.49.231.187

HostPalace Web Solution PVT LTD

133229

Estro Web Services Private Limited

Netherlands

62.210.86.106

Online S.a.s.

12876

Free SAS

France

62.210.86.117

Online S.a.s.

12876

Free SAS

France

62.210.88.58

Online S.a.s.

12876

Free SAS

France

62.210.83.104

Online S.a.s.

12876

Free SAS

France

37.49.231.236

HostPalace Web Solution PVT LTD

133229

Estro Web Services Private Limited

Netherlands

37.49.231.122

HostPalace Web Solution PVT LTD

133229

Estro Web Services Private Limited

Netherlands

62.210.83.136

Online S.a.s.

12876

Free SAS

France

176.119.7.170

FOP Gubina Lubov Petrivna

58271

FOP Gubina Lubov Petrivna

Ukraine

216.170.120.176

ColoCrossing

36352

Net3

United States

185.107.83.129

NForce Entertainment B.V.

43350

NFOrce Entertainment B.V.

Netherlands

185.107.80.62

NForce Entertainment B.V.

43350

NFOrce Entertainment B.V.

Netherlands

185.107.80.153

NForce Entertainment B.V.

43350

NFOrce Entertainment B.V.

Netherlands

46.166.142.35

NForce Entertainment B.V.

43350

NFOrce Entertainment B.V.

Netherlands

192.227.220.213

ColoCrossing

36352

ColoCrossing

United States

46.166.187.179

NForce Entertainment B.V.

43350

NFOrce Entertainment B.V.

Netherlands

185.107.80.31

NForce Entertainment B.V.

43350

NFOrce Entertainment B.V.

Netherlands

46.166.187.2

NForce Entertainment B.V.

43350

NFOrce Entertainment B.V.

Netherlands

210.124.164.133

Korea Telecom

4766

LG DACOM Corporation

Republic of Korea

46.166.139.6

NForce Entertainment B.V.

43350

NFOrce Entertainment B.V.

Netherlands

167.114.174.232

OVH SAS

16276

OVH Hosting

Canada

46.166.187.4

NForce Entertainment B.V.

43350

NFOrce Entertainment B.V.

Netherlands

185.53.88.71

Vitox Telecom 

209299

 

 Estonia

62.210.84.176

Online S.a.s.

12876

Free SAS

France

46.166.148.3

NForce Entertainment B.V.

43350

NFOrce Entertainment B.V.

Netherlands

149.56.45.214

OVH SAS

16276

OVH Hosting

Canada

62.210.86.103

Online S.a.s.

12876

Free SAS

France

37.49.231.77

HostPalace Web Solution PVT LTD

133229

Estro Web Services Private Limited

Netherlands

46.166.142.27

NForce Entertainment B.V.

43350

NFOrce Entertainment B.V.

Netherlands

46.166.187.177

NForce Entertainment B.V.

43350

NFOrce Entertainment B.V.

Netherlands

137.74.180.145

OVH SAS

16276

OVH SAS

France

178.215.173.22

Telemost LLC

42590

Telemost LLC

Ukraine

37.49.231.159

HostPalace Web Solution PVT LTD

133229

Estro Web Services Private Limited

Netherlands

HMA Pro VPN

62.210.142.89

Online S.a.s.

12876

Free SAS

France

62.210.84.136

Online S.a.s.

12876

Free SAS

France

46.166.151.117

NForce Entertainment B.V.

43350

NFOrce Entertainment B.V.

Netherlands

62.210.84.153

Online S.a.s.

12876

Free SAS

France

 4Les 20 principaux ports et services attaqués.

5https://www.f5.com/labs/search._hunt_for_IoT

*Pour obtenir la liste des 100 principales paires d’informations d’identification utilisées dans les attaques SSH par force brute, reportez-vous au document intitulé The Hunt for IoT, volume 5.

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore noté)
Loading...

Mots clés : , , , ,


Vos réactions




Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.