Dans l’article OpenFacto du 25 mars 2020 sur le télétravail, nous présentions le principe global de fonctionnement de l’outil Shodan, qui est de nouveau au cœur du présent article. Ici, toujours sur Shodan, et grâce à la combinaison de quelques filtres de recherche, nous avons découvert que le même fournisseur d’accès Syrien héberge à la fois le portail officiel du gouvernement et des services susceptibles d’être dédiés à des attaques informatiques…
Voici comment.
Shodan : filtres de recherche et résultats
En utilisant la syntaxe suivante, Shodan nous permet de filtrer les résultats de recherche par pays :
country:codepays
Pour chaque pays, on va utiliser un code de deux lettres, dont la liste est disponible ici. Ainsi, pour la Syrie, on obtient les résultats suivants :
Shodan permet également la combinaison de filtres pour préciser un peu cette recherche par port
country:SY port:22
Le port 22 est traditionnellement utilisé par le protocole SSH, un outil qui facilite les connexions sécurisées entre deux systèmes, en autorisant la prise en main à distance. Vous comprenez donc que la requête ci-dessus permet de lister les services SSH découverts en Syrie, qui sont en nombre beaucoup moins conséquent :
En regardant de plus près les résultats de recherche ci-dessus, on constate que deux d’entre eux sont étiquetés comme « scanner » (à gauche) :
Lorsqu’une adresse IP trouvée par Shodan comporte une telle étiquette, elle est accompagnée de la mention : « This IP has been observed scanning the Internet. » Cela signifie que les services hébergés par cette adresse IP parcourent l’intégralité du web à la recherche de machines vulnérables, et ce dans le but possible de procéder à des attaques informatiques.
Exploration du sous-réseau
Les deux adresses IP trouvées ci-dessus font partie du même réseau /24, à savoir :
- a.b.c.x
- a.b.c.y
Dans shodan, un autre filtre de recherche permet de lister toutes les adresses IP trouvées sur un même sous-réseau :
net:a.b.c.0/24
Parmi les résultats de recherche, on trouve la machine suivante, hébergée par Syrian Telecom comme toutes les autres machines du même sous réseau /24 :
Exploration sécurisée d’URLs
Dans la capture d’écran précédente, l’icône suivante permet d’accéder directement à l’URL trouvée par Shodan, non plus via https://www.monadresse.com mais http://monadresseIP:monport :
En faisant un clic droit sur l’icône, on va sélectionner « Copier l’adresse du lien » et la renseigner dans le moteur de recherches du site urlscan.io.
urlscan.io est un scanner d’URL qui permet d’obtenir des informations sur des sites web potentiellement frauduleux, et qui fournit en sortie une capture d’écran des pages capturées. Plus précisément, dans le cas qui nous concerne, cet outil permet de parcourir des sites web à notre place, sans laisser de trace(s) d’accès ni risquer une éventuelle infection.
On constate alors que le site web trouvé par Shodan est le portail officiel du gouvernement Syrien :
Corroboration des résultats trouvés
Lorsque les administrateurs système d’équipements informatiques constatent des requêtes suspectes venant d’adresses IP, ils ont à leur disposition des moteurs de listes noires. Sur ces outils, ils peuvent à la fois renseigner le détail des requêtes suspectes reçues, et rechercher si les adresses IPs en question n’ont pas déjà été la source d’autres requêtes frauduleuses.
Ainsi, sur abuseipdb.com, on remarque que huit adresses IP sur ce range sont signalées :
Parmi celles-ci, une des deux adresses a déjà été mentionnée plus de 600 fois depuis le début de l’année 2020, et est toujours en activité :
Même chose pour la seconde adresse IP, mentionnée plus de 400 fois depuis Décembre 2019, et elle aussi, toujours en activité :
Pour l’anecdote, on notera que durant la rédaction de cet article, le compteur de ces signalements d’abus a continué à tourner!….
Pour aller plus loin
Le dernier rapport d’activité de Syrian Telecom accessible en ligne date de… 2011, conflit oblige.
Mais cet opérateur de télécommunication, très lié au régime syrien (Le chef de l’Etat en est le président…) mène depuis longtemps des activités « agressives » sur et depuis son réseau :
- sur son territoire pour la surveillance des communications du pays (il est intimement lié à l’affaire Qosmos, par exemple entre 2009 et 2011. Lire à ce sujet les articles de Mediapart et de reflets.info)
- A l’international, avec au moins deux détournements de trafic (BGP Hijack) identifiés en 2014 et en 2015 par exemple…
Pour autant, il convient d’être particulièrement prudent quant à l’interprétation des résultats des observations ci-dessus et de préciser que l’attribution formelle à l’opérateur des scans opérés par la machine syrienne est impossible à faire sur la base de ces quelques éléments.
En effet, la machine observée ci-dessus, par exemple, fait tourner un certain nombre de services (serveur ftp, web, etc…) qui s’ils apparaissent assez légitimes, n’en sont pas moins obsolètes dans leurs versions déployées et particulièrement sensibles aux vulnérabilités (CVE).
L’hypothèse d’une compromission de ce serveur par un ou plusieurs autres attaquants, nationaux ou internationaux, dans le but de masquer leur(s) réelle(s) origine(s), est ainsi tout à fait envisageable.
Outils
Pour réaliser ces recherches, nous utilisons les services de Shodan. L’accès à l’application est gratuite pour quelques recherches élémentaires mais payante pour des recherches plus approfondies. Les tarifs peuvent être un peu prohibitifs pour les particuliers mais sachez qu’en général, il y a toujours quelques promotions pour le Black Friday par exemple.
Il est également possible d’utiliser Censys.io ou encore l’application française Onyphe…
Ajout du 5 avril 2020 : @Mbahal nous recommande également le site internet greynoise.io