Baptisé à un moment proxyware (par Cisco Talos en 2021) ou proxyjacking, ce procédé consiste à payer un utilisateur pour pouvoir se servir d’une partie de la bande passante inutilisée. Une technique encore plus rémunératrice si elle se fait sur le réseau de l’entreprise, mais parfaitement illégale et dangereuse. Si le concept n’est pas nouveau, « la possibilité de le monétiser facilement par des affiliés de groupes connus l’est », souligne un rapport d’Akamai. « Comme il offre un moyen facile de gagner de l’argent, ce vecteur représente une menace pour le monde de l’entreprise, comme pour le grand public, d’où la nécessité d’accroître la sensibilisation à ce problème et espérons-le son atténuation », ajoute le spécialiste du CDN.

Plusieurs campagnes détectées

Dans plusieurs campagnes sur lesquelles l'équipe d'Akamai a récemment enquêté, les attaquants ont utilisé des identifiants SSH compromis pour déployer une série de scripts qui ont transformé les serveurs en clients proxy sur les réseaux Peer2Profit et Honeygain. Ces deux services, présentés comme des outils de revenus passifs, permettent aux utilisateurs de partager leur bande passante et leur adresse IP inutilisées dans le cadre d'un réseau partagé de serveurs proxy, réseau utilisé ensuite par des entreprises payantes pour la collecte de données, la publicité et d'autres activités.

Pour ces services basés sur le volontariat, les personnes doivent installer une application client sur leur ordinateur ou leur téléphone portable. « La situation est complètement différente si une application est déployée à l'insu ou sans le consentement de l'utilisateur, et qu’elle sert à exploiter ses ressources », ont déclaré les chercheurs d'Akamai. « C'est à ce moment-là que l’usage apparemment anodin de ces services bascule dans la cybercriminalité. En réquisitionnant plusieurs systèmes et leur bande passante, l'attaquant augmente effectivement les gains potentiels qu'il peut tirer du service, et cela, aux dépens des victimes », ont-ils ajouté. Dans le concept, cette attaque est proche du cryptojacking, qui consiste à utiliser les ressources informatiques d'une machine pour miner des crypto-monnaies à l'insu ou sans l'accord du propriétaire du système.

Proxyjacking via des conteneurs Docker

Dans les attaques observées par Akamai via ses pots de miel, les attaquants se sont d'abord connectés via SSH et ont exécuté un script Bash codé en Base64. L'objectif de ce script est de se connecter à un serveur contrôlé par l'attaquant et de télécharger un fichier appelé csdark.css. Or ce fichier est une version compilée de curl, un outil de ligne de commande Linux très utilisé pour télécharger des fichiers. L'exécutable n'est détecté par aucun moteur antivirus sur VirusTotal car il s'agit d'une version légitime et non modifiée de curl, qui figure probablement sur la liste blanche des outils système. Une fois curl déployé sur le système, le script Bash change le répertoire de travail en un répertoire temporaire, généralement accessible en écriture et exécutable par tous les utilisateurs, tel que /dev/shm ou /tmp. Il procède ensuite au téléchargement d'une image de conteneur Docker préchargée et préconfigurée avec les clients Peer2Profit ou Honeygain, ainsi qu'avec l'identifiant d'affilié de l'attaquant sur les réseaux, afin que les systèmes détournés soient enregistrés sous leur compte.

Avant de déployer l'image de conteneur Docker téléchargée sous le nom de postfixd, le script vérifie si d'autres conteneurs concurrents, éventuellement déployés par d'autres attaquants, sont en cours d'exécution et arrête ceux qu’il trouve. Postfix est un agent de transfert de courrier électronique très répandu sous Linux. Les attaquants ont donc choisi ce nom suivi de d (daemon) pour que leur conteneur soit moins visible dans la liste des processus du système. Peer2Profit et Honeygain fournissent tous deux des images Docker publiques pour leurs clients et avec plus d'un million de téléchargements, elles sont assez populaires, de sorte que les attaquants n'ont pas eu grand-chose à faire pour mettre en place l'environnement et les outils. Il semble que le serveur web sur lequel les attaquants hébergent leur exécutable curl rebaptisé a été piraté et qu'il contient un outil de cryptomining. Il est donc probable que les attaquants à l'origine de ces campagnes de proxyjacking se livrent également au cryptojacking. « Dans cette campagne particulière, le SSH a été utilisé pour accéder à un serveur et installer un conteneur Docker, mais dans les campagnes précédentes, les pirates ont aussi exploité des vulnérabilités web », ont déclaré les chercheurs d'Akamai. « Si, après vérification des services Docker locaux en cours d'exécution, l’équipe IT trouve un partage de ressources indésirable sur un système, elle doit enquêter sur l'intrusion, déterminer comment le script a été téléchargé et exécuté, et effectuer un nettoyage complet », ont recommandé les chercheurs.