Accueil 5 News 5 Proxyjacking, une campagne cible les serveurs SSH vulnérables

Proxyjacking, une campagne cible les serveurs SSH vulnérables

par | 2 Juil 2023

Un chercheur de Akamai a récemment publié un article de blog mettant en lumière une nouvelle tendance inquiétante : le proxyjacking. Cette pratique consiste pour les cybercriminels à vendre votre bande passante à un service proxy tiers. Pour comprendre comment fonctionne le proxyjacking, il est nécessaire d’expliquer quelques concepts.

Qu’est-ce que le proxyjacking ?

Il existe plusieurs services légitimes qui rémunèrent les utilisateurs pour partager leur bande passante Internet excédentaire, tels que Peer2Profit et HoneyGain. Les participants installent un logiciel qui ajoute leurs systèmes au réseau proxy du service. Les clients du service proxy voient leur trafic acheminé via les systèmes des participants.

Le problème du proxyjacking réside dans le fait que ces services ne vérifient pas l’origine de la bande passante partagée. Peer2Profit et Honeygain prétendent ne partager leurs proxies qu’avec des partenaires théoriquement vérifiés, mais selon les recherches d’Akamai, ils ne vérifient pas si celui qui offre la bande passante en est le véritable propriétaire.

Comment fonctionne cette campagne de proxyjacking ?

Les proxies et la bande passante volée ont toujours été populaires parmi les cybercriminels car ils leur permettent d’anonymiser leur trafic. Ce qui est nouveau dans cette campagne, c’est que ces mêmes criminels “louent” maintenant la bande passante des systèmes compromis pour gagner de l’argent, au lieu de simplement les utiliser.

Le chercheur a pris conscience de la campagne lorsqu’il a remarqué qu’un attaquant établissait plusieurs connexions SSH (Secure Shell) à l’un de ses honeypots Cowrie. Cowrie est un honeypot SSH et Telnet de moyenne à haute interaction conçu pour enregistrer les attaques par force brute et l’interaction shell effectuée par l’attaquant.

Comment se protéger ?

Les utilisateurs particuliers peuvent se protéger du proxyjacking en :

Les utilisateurs professionnels peuvent ajouter :

  • La surveillance du trafic réseau pour détecter les anomalies
  • Le suivi des applications conteneurisées en cours d’exécution
  • L’utilisation de l’authentification basée sur des clés pour SSH au lieu de mots de passe

Akamai ajoute : “Dans cette campagne particulière, nous avons vu l’utilisation de SSH pour accéder à un serveur et installer un conteneur Docker, mais des campagnes précédentes ont également exploité des vulnérabilités web. Si vous vérifiez vos services Docker locaux en cours d’exécution et que vous trouvez un partage de ressources non désiré sur votre système, vous devriez enquêter sur l’intrusion, déterminer comment le script a été téléchargé et exécuté, et effectuer un nettoyage approfondi.”

Deux journées d’ateliers, de conférences et d’échanges avec des experts inspirants, dédiées aux particuliers, aux entreprises et aux collectivités.

Détails & badge (offert)

Services
CSM Cybersécurité Audit SSI, audit informatique en Corse à bastia et Ajaccio

Audit SSI

Audit RGPD de votre structure : Charte informatique, politique de sécurité des systèmes d'information (PSSI), registre des activités de traitement, gestion des sous-traitants dans la conformité RGPD, expertise RGPD de notre juriste. cabinet CSM - Cybersécurité Management en Corse à Ajaccio et Bastia.

Audit RGPD

Soc Managé par CSM Cybersécurité Management en Corse sur Bastia et Ajaccio une analyse constantes de l’activité sur les postes de travail et serveurs.

SOC managé

Auteurs

Publications Carlos BARBOSA

Publications CSM

Les dernières publications

Share This