Attaque SEO DragonRank : la manipulation cachée des serveurs IIS
Table of Contents
Une stratégie sophistiquée pour exploiter les classements de recherche
L'attaque SEO de DragonRank est une campagne observée ciblant les serveurs Internet Information Services (IIS) , en particulier dans certaines régions d'Asie et du Brésil. L'objectif de cette opération est de manipuler les classements des moteurs de recherche en injectant des composants malveillants dans le contenu Web, en redirigeant les utilisateurs vers des sites Web illicites et en exploitant les serveurs compromis à des fins financières. Cette activité est liée à un groupe connu qui utilise une porte dérobée personnalisée, souvent identifiée comme BadIIS, pour exécuter sa stratégie.
Quel est le véritable objectif de DragonRank ?
L'objectif principal de cette attaque semble être le profit financier, obtenu par l'exploitation du classement des moteurs de recherche et des redirections non autorisées. En compromettant les serveurs IIS appartenant à des agences gouvernementales, des universités et des entreprises technologiques, les attaquants modifient la manière dont ces serveurs répondent aux requêtes Web. Cela leur permet de rediriger les visiteurs sans méfiance vers des destinations non autorisées, notamment des sites de jeux d'argent et des plateformes malveillantes hébergeant des pages de vol d'identifiants.
La manipulation ne se limite pas à de simples redirections. Les attaquants déploient un mécanisme qui vérifie les requêtes entrantes à la recherche d'identifiants de moteurs de recherche ou de mots-clés spécifiques. Si une correspondance est trouvée, l'utilisateur est automatiquement redirigé vers un site choisi par l'attaquant au lieu de la page légitime attendue. Cela permet aux opérateurs de menaces de manipuler les schémas de trafic et d'influencer les algorithmes des moteurs de recherche, améliorant ainsi la visibilité des sites illicites.
Conséquences pour les organisations et les utilisateurs
L'impact de cette attaque est considérable, affectant à la fois les propriétaires de sites Web et les visiteurs. Les organisations qui hébergent des serveurs IIS peuvent voir leurs domaines impliqués dans une fraude de recherche à leur insu. Cela peut entraîner une perte de crédibilité, des failles de sécurité et une éventuelle mise sur liste noire par les moteurs de recherche. De plus, comme certains de ces serveurs compromis appartiennent à des institutions gouvernementales et à des industries critiques, il existe un risque de violations de données plus graves si les attaquants étendent leurs activités au-delà de la fraude SEO.
Les conséquences pour les utilisateurs peuvent aller de la redirection vers des sites trompeurs ou illégaux à l'exposition potentielle à des logiciels malveillants. Certains de ces sites malveillants peuvent contenir des menaces supplémentaires, telles que des tentatives de phishing ou de collecte d'informations sensibles.
Liens vers des réseaux de cybercriminalité plus vastes
La campagne DragonRank serait associée à un réseau plus vaste d’activités cybercriminelles. Des recherches antérieures ont relié cette opération à un groupe appelé Group 9, qui s’est déjà livré à des compromissions similaires sur des serveurs IIS. Une analyse plus approfondie suggère qu’elle chevauche une entité distincte, Group 11, qui emploie des tactiques comparables, notamment la capacité d’exécuter des fraudes SEO et d’injecter des scripts nuisibles dans des pages Web.
Un autre aspect de cette menace est son association avec le blanchiment d’infrastructures, une pratique dans laquelle les cybercriminels acquièrent des adresses IP auprès de fournisseurs d’hébergement traditionnels et les utilisent à des fins trompeuses. Un réseau basé en Chine connu sous le nom de Funnull a été associé à cette méthode, louant apparemment des milliers d’adresses IP à des fournisseurs comme Amazon Web Services et Microsoft Azure. Ces adresses IP ont été liées à des activités frauduleuses, notamment des tentatives de phishing, des fraudes financières et de fausses plateformes de jeux d’argent.
L'évolution de la manipulation des moteurs de recherche
Cette attaque met en évidence une tendance croissante des cybercriminels à exploiter les algorithmes de recherche à des fins illicites. En détournant une infrastructure Web fiable, ils contournent les mécanismes de détection traditionnels et accèdent à un trafic Web considérable. De telles tactiques nuisent non seulement à la fiabilité des moteurs de recherche, mais introduisent également de nouveaux risques pour les utilisateurs en ligne qui peuvent interagir sans le savoir avec des sites Web compromis.
Alors que les cybercriminels affinent leurs techniques, les entreprises doivent prendre des mesures proactives pour sécuriser leurs environnements Web. Le renforcement des configurations de serveur IIS, la surveillance des anomalies de trafic et la mise en œuvre de contrôles de sécurité rigoureux peuvent contribuer à atténuer les risques posés par des campagnes telles que DragonRank. Pendant ce temps, les opérateurs de moteurs de recherche et les chercheurs en cybersécurité continuent de suivre et de contrer ces menaces en constante évolution.
