Une récente campagne de déni de service distribué (DDoS), surnommée « Panamorfi », a fait beaucoup parler d’elle dans la communauté de la cybersécurité. Contrairement aux attaques DDoS traditionnelles, cette campagne cible spécifiquement les notebooks Jupyter mal configurés qui sont exposés en ligne. L’acteur de menace derrière la campagne, connu sous le nom de yawixooo, utilise un outil de DDoS de serveur Minecraft public pour submerger les serveurs cibles.
L’Anatomie de l’Attaque
Selon des chercheurs de Aqua Nautilus, l’attaque commence avec l’acteur de menace obtenant un accès initial aux notebooks accessibles sur Internet. Ensuite, ils exécutent une commande qui télécharge un fichier zip depuis une plateforme de partage de fichiers. Le fichier zip, d’environ 17 Mo et nommé avec une chaîne aléatoire de caractères, contient deux fichiers Jar appelés conn.jar et mineping.jar. Ces fichiers Jar étaient précédemment inconnus des entreprises de sécurité, avec une seule détection pour chacun.
Le fichier ‘conn.jar’ joue un rôle crucial dans l’attaque. Il utilise Discord pour contrôler l’opération de DDoS. La machine de la victime se connecte à un canal Discord spécifié, chargeant le fichier ‘mineping.jar’. Ce fichier est un outil de DDoS de serveur Minecraft bien connu disponible sur GitHub et contient plusieurs fichiers Java pour différentes fonctionnalités.
L’Exécution de l’Attaque
Une fois l’outil de DDoS de serveur Minecraft déployé, l’acteur de menace lance une attaque de déni de service par inondation TCP. L’objectif principal est d’épuiser les ressources du serveur cible. Les attaquants ont configuré l’outil pour écrire les résultats de l’attaque directement dans le canal Discord, leur permettant de surveiller l’impact de l’attaque en temps réel.
Atténuer la Menace
Heureusement, les chercheurs de Aqua Nautilus ont pu intervenir et stopper l’attaque en mettant en place une politique d’exécution qui bloque l’exécution du fichier conn.jar. Ces mesures proactives ont neutralisé efficacement l’ensemble de la campagne.
Pour se protéger contre des campagnes similaires, il est crucial de suivre ces stratégies d’atténuation :
– Mettre en place des pratiques sécurisées pour restreindre l’accès aux notebooks Jupyter.
– Bloquer l’exécution des fichiers associés à la campagne, tels que conn.jar et mineping.jar.
– Limiter l’exécution du code dans les notebooks Jupyter.
– Mettre régulièrement à jour les notebooks Jupyter avec les derniers correctifs de sécurité.
De plus, il est conseillé d’éviter de partager des informations sensibles ou des identifiants dans les notebooks Jupyter, car ils peuvent devenir des cibles attrayantes pour les acteurs de menace.
En restant vigilant et en adoptant ces mesures de défense, les praticiens des données tels que les ingénieurs de données, les analystes de données et les scientifiques des données peuvent se protéger de la campagne de DDoS Panamorfi et d’attaques similaires à l’avenir.