{"id":1194834,"date":"2024-06-11T14:46:54","date_gmt":"2024-06-11T16:46:54","guid":{"rendered":"https:\/\/teknomers.com\/fr\/lacteur-chinois-secshow-mene-des-enquetes-dns-massives-a-lechelle-mondiale\/"},"modified":"2024-06-11T14:46:59","modified_gmt":"2024-06-11T16:46:59","slug":"lacteur-chinois-secshow-mene-des-enquetes-dns-massives-a-lechelle-mondiale","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/lacteur-chinois-secshow-mene-des-enquetes-dns-massives-a-lechelle-mondiale\/","title":{"rendered":"L&#8217;acteur chinois SecShow m\u00e8ne des enqu\u00eates DNS massives \u00e0 l&#8217;\u00e9chelle mondiale"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Lacteur-chinois-SecShow-mene-des-enquetes-DNS-massives-a-lechelle.png\" style=\"display: block; text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont fait la lumi\u00e8re sur un acteur chinois nomm\u00e9 SecShow qui a \u00e9t\u00e9 observ\u00e9 en train de mettre en place un syst\u00e8me de noms de domaine (DNS) \u00e0 l\u2019\u00e9chelle mondiale depuis au moins juin 2023.<\/p>\n<p>L&#8217;adversaire, selon les chercheurs en s\u00e9curit\u00e9 d&#8217;Infoblox, le Dr Ren\u00e9e Burton et Dave Mitchell, op\u00e8re \u00e0 partir du China Education and Research Network (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/CERNET\" target=\"_blank\">CERNET<\/a>), un projet financ\u00e9 par le gouvernement chinois.<\/p>\n<p>&#8220;Ces sondes cherchent \u00e0 trouver et \u00e0 mesurer les r\u00e9ponses DNS au niveau des r\u00e9solveurs ouverts&#8221;, expliquent-ils. <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.infoblox.com\/threat-intelligence\/what-a-show-an-amplified-internet-scale-dns-probing-operation\/\" target=\"_blank\">dit<\/a> dans un rapport publi\u00e9 la semaine derni\u00e8re.  &#8220;L&#8217;objectif final des op\u00e9rations SecShow est inconnu, mais les informations collect\u00e9es peuvent \u00eatre utilis\u00e9es \u00e0 des fins malveillantes et ne profitent qu&#8217;\u00e0 l&#8217;acteur.&#8221;<\/p>\n<p>Cela dit, certaines preuves sugg\u00e8rent que cela pourrait avoir \u00e9t\u00e9 li\u00e9 \u00e0 une sorte de recherche universitaire li\u00e9e \u00e0 \u00ab\u00a0l&#8217;ex\u00e9cution de mesures \u00e0 l&#8217;aide de techniques d&#8217;usurpation d&#8217;adresse IP sur des domaines au sein de secshow.net\u00a0\u00bb en utilisant la m\u00eame technique que le <a rel=\"nofollow noopener\" href=\"https:\/\/closedresolver.korlabs.io\/\" target=\"_blank\">Projet de r\u00e9solution ferm\u00e9<\/a>.<\/p>\n<p>Cependant, cela soul\u00e8ve plus de questions qu&#8217;il n&#8217;en r\u00e9pond, notamment en ce qui concerne la port\u00e9e compl\u00e8te du projet, l&#8217;objectif de la collecte des donn\u00e9es, le choix d&#8217;une adresse Gmail g\u00e9n\u00e9rique pour recueillir les commentaires et le manque g\u00e9n\u00e9ral de transparence.<\/p>\n<p>Les r\u00e9solveurs ouverts font r\u00e9f\u00e9rence \u00e0 des serveurs DNS capables d&#8217;accepter et de r\u00e9soudre les noms de domaine de mani\u00e8re r\u00e9cursive pour n&#8217;importe quelle partie sur Internet, ce qui les rend pr\u00eats \u00e0 \u00eatre exploit\u00e9s par des acteurs malveillants pour lancer un d\u00e9ni de service distribu\u00e9 (<a rel=\"nofollow noopener\" href=\"https:\/\/www.cloudflare.com\/learning\/ddos\/dns-amplification-ddos-attack\/\" target=\"_blank\">DDoS<\/a>) des attaques telles qu&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2013\/03\/29\/dns-amplification-attacks\" target=\"_blank\">Attaque par amplification DNS<\/a>.<\/p>\n<p>Au c\u0153ur des sondes se trouve l&#8217;utilisation des serveurs de noms CERNET pour identifier les r\u00e9solveurs DNS ouverts et calculer les r\u00e9ponses DNS.  Cela implique l&#8217;envoi d&#8217;une requ\u00eate DNS depuis une origine encore ind\u00e9termin\u00e9e vers un r\u00e9solveur ouvert, ce qui am\u00e8ne le serveur de noms contr\u00f4l\u00e9 par SecShow \u00e0 renvoyer une adresse IP al\u00e9atoire.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/1p-d-v3\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Vulnerabilite-Azure-Service-Tags-Microsoft-met-en-garde-contre-un.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Chose int\u00e9ressante, ces serveurs de noms sont configur\u00e9s pour renvoyer une nouvelle adresse IP al\u00e9atoire \u00e0 chaque fois que la requ\u00eate est effectu\u00e9e \u00e0 partir d&#8217;un r\u00e9solveur ouvert diff\u00e9rent, un comportement qui d\u00e9clenche une amplification des requ\u00eates par le produit Palo Alto Cortex Xpanse.<\/p>\n<p>&#8220;Cortex Xpanse traite le nom de domaine dans la requ\u00eate DNS comme une URL et tente de r\u00e9cup\u00e9rer le contenu de l&#8217;adresse IP al\u00e9atoire de ce nom de domaine&#8221;, ont expliqu\u00e9 les chercheurs.  &#8220;Les pare-feu, notamment Palo Alto et Check Point, ainsi que d&#8217;autres dispositifs de s\u00e9curit\u00e9, effectuent un filtrage des URL lorsqu&#8217;ils re\u00e7oivent la demande de Cortex Xpanse.&#8221;<\/p>\n<p>Cette \u00e9tape de filtrage lance une nouvelle requ\u00eate DNS pour le domaine qui am\u00e8ne le serveur de noms \u00e0 renvoyer une adresse IP al\u00e9atoire diff\u00e9rente.<\/p>\n<p>Il est important de noter que certains aspects de ces activit\u00e9s d&#8217;analyse ont d\u00e9j\u00e0 \u00e9t\u00e9 divulgu\u00e9s par <a rel=\"nofollow noopener\" href=\"https:\/\/blog.apnic.net\/2024\/04\/19\/destination-adjacent-source-address-spoofing\/\" target=\"_blank\">Dataplane.org<\/a> et les chercheurs de l&#8217;Unit\u00e9 42 au cours des deux derniers mois.  Les serveurs de noms SecShow ne sont plus r\u00e9actifs depuis la mi-mai 2024.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718124413_95_Lacteur-chinois-SecShow-mene-des-enquetes-DNS-massives-a-lechelle.png\" style=\"display: block; text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718124413_95_Lacteur-chinois-SecShow-mene-des-enquetes-DNS-massives-a-lechelle.png\" alt=\"\" border=\"0\" data-original-height=\"532\" data-original-width=\"728\"\/><\/a><\/div>\n<p>SecShow est le deuxi\u00e8me acteur mena\u00e7ant li\u00e9 \u00e0 la Chine apr\u00e8s Muddling Meerkat \u00e0 mener des activit\u00e9s de sondage DNS \u00e0 grande \u00e9chelle sur Internet.<\/p>\n<p>&#8220;Les requ\u00eates Muddling Meerkat sont con\u00e7ues pour se m\u00e9langer au trafic DNS mondial et [have] est rest\u00e9 inaper\u00e7u pendant plus de quatre ans, tandis que les requ\u00eates Secshow sont des encodages transparents des adresses IP et des informations de mesure&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<h2 style=\"text-align: left;\">Rebirth Botnet propose des services DDoS<\/h2>\n<p>Cette \u00e9volution intervient alors qu&#8217;un acteur malveillant motiv\u00e9 par des raisons financi\u00e8res a \u00e9t\u00e9 d\u00e9couvert faisant la publicit\u00e9 d&#8217;un nouveau service de botnet appel\u00e9 Rebirth pour aider \u00e0 faciliter <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/cybersecurity-101\/cyberattacks\/most-common-types-of-cyberattacks\/#2.%20DoS%20Attacks\" target=\"_blank\">Attaques DDoS<\/a>.<\/p>\n<p>Le botnet DDoS-as-a-Service (DaaS) est \u00ab bas\u00e9 sur la famille de logiciels malveillants Mirai, et les op\u00e9rateurs annoncent ses services via Telegram et une boutique en ligne (rebirthltd.mysellix).[.]io),&#8221; l&#8217;\u00e9quipe de recherche sur les menaces Sysdig <a rel=\"nofollow noopener\" href=\"https:\/\/sysdig.com\/blog\/ddos-as-a-service-the-rebirth-botnet\/\" target=\"_blank\">dit<\/a> dans une analyse r\u00e9cente.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 que Rebirth (alias Vulcan) se concentre principalement sur la communaut\u00e9 du jeu vid\u00e9o, louant le botnet \u00e0 d&#8217;autres acteurs \u00e0 diff\u00e9rents niveaux de prix pour cibler les serveurs de jeux \u00e0 des fins financi\u00e8res.  Les premi\u00e8res preuves de l\u2019utilisation du botnet dans la nature remontent \u00e0 2019.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718124414_156_Lacteur-chinois-SecShow-mene-des-enquetes-DNS-massives-a-lechelle.png\" style=\"display: block; text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718124414_156_Lacteur-chinois-SecShow-mene-des-enquetes-DNS-massives-a-lechelle.png\" alt=\"\" border=\"0\" data-original-height=\"382\" data-original-width=\"728\"\/><\/a><\/div>\n<p>Le forfait le moins cher, baptis\u00e9 Rebirth Basic, co\u00fbte 15 $, tandis que les niveaux Premium, Advanced et Diamond co\u00fbtent respectivement 47 $, 55 $ et 73 $.  Il existe \u00e9galement un plan Rebirth API ACCESS vendu 53 $.<\/p>\n<p>Le malware Rebirth prend en charge la fonctionnalit\u00e9 permettant de lancer des attaques DDoS sur les protocoles TCP et UDP, tels que <a rel=\"nofollow noopener\" href=\"https:\/\/www.cloudflare.com\/learning\/ddos\/what-is-an-ack-flood\/\" target=\"_blank\">Inondation TCP ACK<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.cloudflare.com\/learning\/ddos\/syn-flood-ddos-attack\/\" target=\"_blank\">Inondation TCP SYN<\/a>et <a rel=\"nofollow noopener\" href=\"https:\/\/www.cloudflare.com\/learning\/ddos\/udp-flood-ddos-attack\/\" target=\"_blank\">Inondation UDP<\/a>.<\/p>\n<p>Ce n\u2019est pas la premi\u00e8re fois que des serveurs de jeux sont cibl\u00e9s par des botnets DDoS.  En d\u00e9cembre 2022, Microsoft a divulgu\u00e9 les d\u00e9tails d&#8217;un autre botnet nomm\u00e9 MCCrash, con\u00e7u pour cibler les serveurs Minecraft priv\u00e9s.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ad-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Sticky-Werewolf-etend-ses-cibles-de-cyberattaques-en-Russie-et.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Puis, en mai 2023, Akamai a d\u00e9taill\u00e9 une <a rel=\"nofollow noopener\" href=\"https:\/\/www.imperva.com\/learn\/ddos\/booters-stressers-ddosers\/\" target=\"_blank\">Botnet DDoS \u00e0 louer<\/a> connu sous le nom de Dark Frost, qui a \u00e9t\u00e9 observ\u00e9 en train de lancer des attaques DDoS contre des soci\u00e9t\u00e9s de jeux, des fournisseurs d&#8217;h\u00e9bergement de serveurs de jeux, des streamers en ligne et m\u00eame d&#8217;autres membres de la communaut\u00e9 de jeux.<\/p>\n<p>&#8220;Avec un botnet tel que Rebirth, un individu est capable d&#8217;effectuer des attaques DDoS sur le serveur de jeu ou sur d&#8217;autres joueurs dans un jeu en direct, provoquant soit des probl\u00e8mes et des ralentissements dans les jeux, soit un retard ou un crash des connexions des autres joueurs&#8221;, a d\u00e9clar\u00e9 Sysdig.<\/p>\n<p>&#8220;Cela peut \u00eatre motiv\u00e9 financi\u00e8rement pour les utilisateurs de services de streaming tels que Twitch, dont le mod\u00e8le \u00e9conomique repose sur le fait qu&#8217;un lecteur de streaming gagne des abonn\u00e9s ; cela fournit essentiellement une forme de revenu gr\u00e2ce \u00e0 la mon\u00e9tisation d&#8217;un jeu cass\u00e9.&#8221;<\/p>\n<p>La soci\u00e9t\u00e9 bas\u00e9e en Californie a postul\u00e9 que les clients potentiels de Rebirth pourraient \u00e9galement l&#8217;utiliser pour effectuer des op\u00e9rations de p\u00eache \u00e0 la tra\u00eene DDoS (alias stresser trolling), dans lesquelles des attaques sont lanc\u00e9es contre des serveurs de jeux pour perturber l&#8217;exp\u00e9rience des joueurs l\u00e9gitimes.<\/p>\n<p>Les cha\u00eenes d&#8217;attaque distribuant le malware impliquent l&#8217;exploitation de failles de s\u00e9curit\u00e9 connues (par exemple, CVE-2023-25717) pour d\u00e9ployer un script bash qui se charge de t\u00e9l\u00e9charger et d&#8217;ex\u00e9cuter le malware botnet DDoS en fonction de l&#8217;architecture du processeur.<\/p>\n<p>Le <a rel=\"nofollow noopener\" href=\"https:\/\/telegram.me\/s\/rebirthltd\" target=\"_blank\">Cha\u00eene de t\u00e9l\u00e9gramme<\/a> associ\u00e9 \u00e0 Rebirth a depuis \u00e9t\u00e9 effac\u00e9 pour supprimer tous les anciens messages, avec un message publi\u00e9 le 30 mai 2024 disant &#8220;Bient\u00f4t nous reviendrons [sic]&#8221; Pr\u00e8s de trois heures plus tard, ils ont annonc\u00e9 un service d&#8217;h\u00e9bergement \u00e0 toute \u00e9preuve appel\u00e9 &#8221; bulletproof-hosting[.]xyz.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/chinese-actor-secshow-conducts-massive.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les chercheurs en cybers\u00e9curit\u00e9 ont fait la lumi\u00e8re sur un acteur chinois nomm\u00e9 SecShow qui a \u00e9t\u00e9 observ\u00e9 en train de mettre en place un syst\u00e8me de noms de domaine (DNS) \u00e0 l\u2019\u00e9chelle mondiale depuis au moins juin 2023. L&#8217;adversaire, selon les chercheurs en s\u00e9curit\u00e9 d&#8217;Infoblox, le Dr Ren\u00e9e Burton et Dave Mitchell, op\u00e8re \u00e0 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1194835,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,5663,4168,4165,4161,200267,133,6016,14311,4159,4171,2189,30490,200271,15103,2682,200268,4950,200269,200270,235334,128318,4172,4169,4166,4164],"class_list":["post-1194834","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-chinois","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-des","tag-dns","tag-enquetes","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-lacteur","tag-lechelle","tag-logiciel-malveillant-rancongiciel","tag-massives","tag-mene","tag-mises-a-jour-sur-la-cybersecurite","tag-mondiale","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-secshow","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1194834","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1194834"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1194834\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1194835"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1194834"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1194834"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1194834"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}