Auteur Sujet: Le trafic de Baidu détourné pour une attaque DDoS sur GitHub  (Lu 2829 fois)

0 Membres et 1 Invité sur ce sujet

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 804
  • 73
Depuis plus de 24 heures, GitHub subit une attaque DDoS particulièrement importante : https://twitter.com/githubstatus

Il s'est révélé que le code JavaScript de Baidu Tongji, qui n'est autre que l'équivalent de chinois de Google Analytics, inclus donc sur de très nombreux sites, contient désormais un bout de code malveillant qui effectue des requêtes à intervalle régulière vers le site de partage de code américain !

Une analyse en anglais : http://insight-labs.org/?p=1682

Pour résumer, les URL ciblées correspondent à des projets qui ne doivent pas être très appréciés du gouvernement chinois :

url_array = ["https://github.com/greatfire/", "https://github.com/cn-nytimes/"];
Ces dernières étant chargées comme des scripts, GitHub a détourné en retour le mécanisme, qui affiche désormais une fenêtre popup aux internautes participant à l'attaque malgré eux.



Moi qui théorisait il y a quelques jours sur les implications techniques en matière de sécurité de l'inclusion de Google Analytics sur un site web, la réalité s'en rapproche dangereusement :o

Dans notre cas, le mécanisme de censure chinois ayant récemment été détourné pour effectuer du DDoS sur des sites spécifiques, La Quadrature du Net en ayant d'ailleurs fait les frais, et peu d'organisations disposant probablement d'autant de contrôle sur ce service, la thèse gouvernementale paraît plus que probable.
« Modifié: 27 mars 2015 à 13:49:55 par Marin »

vivien

  • Administrateur
  • *
  • Messages: 47 088
    • Twitter LaFibre.info
Le trafic de Baidu détourné pour une attaque sur DDoS sur Github
« Réponse #1 le: 27 mars 2015 à 13:47:37 »
Intéressant.

GitHub est un site que la chine n'ose pas bloquer, car utilisé par de nombreuses entreprises chinoises (quand il a été bloqué cela a été un tollé, et ils ont dé-bloqué le site)

A noter que LaFibre.info a été victime d'une mini-attaque chinoise pendant 20 minutes : LaFibre.info sous Attaque DDOS ?

Les IP qui occupaient les slots apache pour rien, sont toutes chinoises.

On parle, dans cette vidéo de Next INpact et Arrêt sur images, du rôle de GitHub pour contourner la censure en chine : (GitHub est utilisé, car ils savent qu'il ne sera pas bloqué en Chine)

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 804
  • 73
Le trafic de Baidu détourné pour une attaque DDoS sur GitHub
« Réponse #2 le: 02 avril 2015 à 03:42:04 »
Voici une traduction de l'article de GreatFire.org, portail de surveillance de la censure en Chine, qui a également été concerné par les attaques récentes :


Les autorités chinoises compromettent des millions d'utilisateurs dans leurs cyberattaques

Le 17 mars 2015, notre site ainsi que nos sites partenaires ont été sous le feu d'une attaque DDoS. Nous n'avions jamais fait l'objet d'une attaque de cette ampleur auparavant. Cette attaque était singulière de par sa nature, nous avons en effet pu découvrir que les autorités chinoises ont dirigé les connexions de millions d'internautes qui ne se doutaient de rien pour mener leur attaque. Nous pensons qu'il s'agit d'un risque majeur en termes de cyber-sécurité et d'économie pour les chinois.

Après que nous ayons fait appel à la communauté d'internet pour demander de l'aide et de l'assistance, des chercheurs indépendants ayant accès à nos logs ont pu découvrir ce qui suit :
  • Des millions d'internautes dans le monde, qui visitaient des sites hébergés en Chine ou en dehors de la Chine, ont reçu aléatoirement le code malveillant qui a été utilisé pour attaquer les sites de GreatFire.org.
  • Le code de Baidu Analytics (h.js) faisait partie des fichiers qui ont été remplacés par le code malicieux déclenchant l'attaque. Baidu Analytics, de la même manière que Google Analytics, est utilisé par des milliers de sites web. N'importe quel visiteur d'un site utilisant Baidu Analytics ou d'autres ressources hébergées par Baidu a pu être exposé au code malicieux. Une liste des ressources de Baidu dont l'exploitation par cette attaque a été avérée est présente dans le rapport.
  • Le code malicieux est envoyé « globalement à tous les lecteurs » sans distinction géographique, ce qui signifie que les autorités n'ont pas juste utilisé les internautes chinois pour mener cette attaque − elles ont compromis des internautes et des sites web partout à travers le monde.
  • L'altération prend place quelque part entre l'arrivée du trafic en Chine et son acheminement aux serveurs de Baidu. Cela concorde avec de précédentes actions malveillantes et nous dirige vers une implication directe de l'Administration Chinoise du Cyberespace (CAC) dans ces attaques.
Des détails plus techniques concernant l'attaque peuvent être trouvés dans le rapport de recherche intitulé « L'utilisation de Baidu pour diriger des milliers de machines dans le lancement d'attaques par déni de service ».

GitHub ciblé par l'attaque DDoS

Le 25 mars, les autorités chinoises ont utilisé les mêmes techniques pour lancer une attaque DDoS envers GitHub − notre page se trouvait parmi les principales cibles. Pour mitiger l'attaque DDoS, nous avions mis en place un miroir de notre contenu sur GitHub et demandé à nos utilisateurs d'accéder directement à cette page. Les attaquants ont alors reciblé leur attaque vers notre page GitHub.

GitHub a déclaré :

Citer
Nous faisons actuellement l'objet de la plus importante attaque DDoS (déni de service distribué) dans l'histoire de github.com. L'attaque a commencé le jeudi 26 mars vers 2:00 UTC, et comprend une large combinaison de différents vecteurs d'attaque. Cela inclut tous les vecteurs que nous avions vus dans les précédentes attaques mais aussi de nouvelles techniques sophistiquées qui tirent profit des navigateurs web d'utilisateurs qui ne sont pas impliqués et qui ne se doutent de rien pour inonder github.com d'une importante quantité de trafic. À en juger les rapports que nous avons reçus, nous pensons que le but de cette attaque serait de nous inciter à supprimer un certain type de contenu.

Nous pensons que « un certain type de contenu » fait référence à la page GitHub de GreatFire.org. Pour lutter contre l'attaque DDoS provoquée par le code JS malicieux injecté par la CAC, GitHub a modifié https://github.com/greatfire/ de façon à afficher un message aux utilisateurs : « ATTENTION : javascript malicieux détecté sur ce domaine ».

L'URL de notre page GitHub (https://github.com/greatfire/) est codée en dur dans le JS malicieux. Notre page est toujours accessible et seuls les utilisateurs qui ont été exposés au code malicieux verront cette pop-up d'avertissement en naviguant sur d'autres sites. L'attaque contre GitHub est toujours en cours et le JS malicieux est toujours injecté chez environ 1 % des visiteurs étrangers de sites web utilisant des éléments de Baidu.



Les implications

Quand nous avions écrit une première fois à propos de cette attaque, nous avons souhaité ne pas proférer des accusations sans preuves. Sur la base des preuves forensiques mentionnées ci-dessus et des recherches détaillées qui ont été menées concernant l'attaque de GitHub, nous pouvons désormais conclure avec assurance que l'Administration Chinoise du Cyberespace (CAC) est responsable de ces deux attaques.

Le détournement des machines de millions d'internautes innocents à travers le monde est un acte particulièrement accablant, du fait qu'il montre le mépris total des autorités chinoises envers les normes internationales et mêmes chinoises en matière de gouvernance d'internet. Il n'existe aucun moyen pour l'internaute lambda de se protéger de manière à s'empêcher de faire partie de cette attaque. Cette déclaration de Lu Wei, le dirigeant de l'Administration Chinoise du Cyberespace, résume nos réflexions et nos craintes concernant ces attaques :

Citer
Nous devrions établir une organisation d'internet qui aide à maintenir la sécurité. Internet est une plateforme mondiale de partage d'information. C'est une « communauté d'intérêts communs ». Aucun pays n'est à l'abri d'enjeux globaux tels que le cybercrime, le hacking et l'invasion de la vie privée. Dans le cyberespace, il devient de plus en plus difficile de maintenir la sécurité de son propre pays en sacrifiant celle des autres. Il n'est pas non plus réaliste de s'occuper de ses propres intérêts en rejetant les nécessités des autres. La Chine est également victime du hacking. Nous avons toujours été fermement opposés à toutes formes d'attaques par internet.

Insérer du code malicieux de cette manière ne peut être fait que par la backbone internet chinoise. Même si le CAC n'a pas lancé d'attaque DDoS directement, il est responsable de la gestion d'internet en Chine et il n'est pas possible qu'il n'ait pas été au courant de ce qui se passait. Ces attaques ont survenu sous la surveillance du CAC et auraient nécessité l'approbation de Lu Wei.

Lu Wei et l'Administration Chinoise du Cyberespace ont clairement passé un cap dans les tactiques qu'ils utilisent pour le contrôle de l'information. Le Grand Pare-feu est passé d'un filtre entrant et passif, à un filtre sortant, actif et agressif. Il s'agit d'un développement qui laisse à craindre et les implications de cette action vont au-delà du contrôle de l'information sur internet. En un mouvement rapide, les autorités sont passées de l'application d'une censure stricte en Chine, à une censure chinoise des utilisateurs d'internet dans le monde. La CAC peut lancer ces attaques rapidement et facilement et dispose des ressources techniques et financières pour continuer à lancer des attaques envers n'importe quel site web, partout dans le monde.

Ces attaques illustrent également la nature irréfléchie des autorités chinoises. Transformer en arme les services internet chinois réprime la confiance internationale envers les entrepreneurs chinois et contribue à la fragmentation de l'internet mondial. Le SEC (Securities and Exchange Commission) à déjà demandé à Weibo d'expliquer comment fonctionne l'appareil de la censure − Baidu, une entreprise cotée publiquement aux États-Unis, pourrait être appelée à faire de même.

Nous avions correctement prédit l'année derrière que la Chine augmenterait son utilisation des attaques MITM dans le but de censurer les sites web chiffrés. Nous prédisons maintenant que les attaques envers nous et GitHub ont malheureusement des chances d'être les signes annonciateurs d'une augmentation des attaques envers les possessions étrangères sur internet. Ce type d'attaques mériterait d'attirer le mépris et les critiques des représentants gouvernementaux de tous les pays à travers le monde.

Il est important de noter que durant cette attaque, notre application Android FreeBrowser n'a pas été impactée et aide toujours des milliers d'internautes chinois à contourner la censure du grand pare-feu chaque jour.

Au nom des millions d'internautes inconscients manipulés par ces actes, nous appelons Lu Wei et l'Administration Chinoise du Cyberespace (CAC) à mettre un terme à ces attaques DDoS immédiatement et à s'excuser pour leur irrespect flagrant et leurs actions dangereuses.

Informations complèmentaires

Après le commencement de l'attaque, beaucoup de chinois expatriés ont vu les messages d'alerte et ont commencé à partager des captures d'écran sur les réseaux sociaux.

Un internaute a mis en ligne une vidéo YouTube qui montre ce qui se passe quand le code JS malicieux utilisé pour l'attaque DDoS envers GitHub est injecté chez l'utilisateur. Vous pouvez également constater les démarches de mitigation de l'attaque mises en place par GitHub dans cette vidéo.

On peut trouver des détails fascinants concernant l'attaque envers GitHub et les changements effectués par l'Administration Chinoise du Cyberespace pour maintenir l'attaque.

Un rapport plus ancien concernant une mise à jour sans rapport du Grand Pare-feu avait déclaré que « Chaque machine en Chine a le potentiel de faire partie d'une attaque DDoS massive envers des sites innocents », et qu'« ils ont transformé en arme toute leur population ». Ce fût trop optimise. Désormais la CAC a transformé en arme toute la population d'internet.


Source : GreatFire.org, le 31 mars 2015
« Modifié: 02 avril 2015 à 04:08:35 par Marin »