10.10.2024 - En septembre 2024, l'OFCS a enregistré une augmentation des attaques DDoS menées par un réseau de zombies appelé «Gorilla». Il s'agit d'un service «DDoS as a service» proposé sur Telegram, qui peut être loué contre une rémunération correspondante. Etant donné qu’un exploitant d'une infrastructure critique en Suisse a été touché, l'OFCS a publié les conclusions techniques dans un bref rapport.
En septembre dernier, l’OFCS a été informé par un exploitant d'infrastructure critique d'une attaque par déni de service distribué (dite attaque «DDoS») contre son infrastructure. L'analyse technique effectuée en collaboration avec l'infrastructure critique a montré que l'attaque DDoS a été vraisemblablement exécutée par un service «DDoS-as-a-service», proposé notamment sur le canal de Telegram sous le nom de «Gorilla Services». L’OFCS a pu identifier l'infrastructure utilisée par les attaquants et mettre en place des mesures de défense appropriées. En outre, le canal Telegram de «Gorilla Services» a pu être fermé grâce à une plainte envoyée à Telegram.
Le rapport technique met en lumière l'infrastructure utilisée par le botnet «Gorilla» ainsi que le logiciel malveillant (malware) utilisé par les attaquants. Il s'agit d'un malware dont le code ressemble à celui du malware «Mirai» et qui infecte les appareils équipés d'un système d'exploitation Linux/Unix. Le maliciel reçoit des ordres d'attaque d'un serveur central de commande et de contrôle de botnet et les exécute en conséquence.
Les attaques DDoS contre les infrastructures suisses étaient des attaques par amplification DNS. Celles-ci consistent à détourner le système de noms de domaine (DNS) pour diriger des flux de données extrêmement conséquents vers l'infrastructure de la victime, la surchargeant ainsi. Si les attaques ont entraîné des interruptions momentanées de certains services, la sécurité et l'intégrité des données n'ont à aucun moment été menacées.
Brève analyse technique du botnet "Gorilla" (PDF, 1 MB, 10.10.2024)Disponible en anglais
Indicateurs techniques de GorillaBot:
https://github.com/govcert-ch/CTI/tree/main/20241010_GorillaBot/
Dernière modification 10.10.2024
