Comment un Français a hacké les hackers chinois... du Japanese Keyword Hack
Le Japanese Keyword Hack désigne une attaque de piratage par mots clés japonais. Depuis plusieurs années, elle fait un grand nombre de dommages sur une quantité de sites web, essentiellement sous WordPress, le CMS le plus utilisé au monde.
Son principe est relativement simple. A partir d'une faille, comme lorsqu'une mise à jour d'une extension n'est pas réalisée ou encore que le mot de passe de l'utilisateur est trop faible, les hackers peuvent publier automatiquement du texte en japonais sur le site internet de la victime. L'objectif de cette technique de blackhat SEO est de se servir de la notoriété des sites piratés pour acquérir du trafic et de l'argent, via des liens d'affiliation, placés dans le contenu, vers des produits illicites ou contrefaits.
"En général, le site voit son nombre de pages indexées décuplé", relate Sylvain Laneyrie, directeur SEO d'Eskimoz. "J'en ai vu passer de 150 à 300 000 pages. Et, conséquence amusante : le site positionne sur la version japonaise de Google ! C'est d'ailleurs un bon signe pour savoir qu'un site français s'est fait hacker. Heureusement, Google a maintenant une page dédiée pour venir en aide à ceux ayant eu des sites piratés. La Search Console signale le hack tardivement mais le fait quand même."
Des cordonniers mal chaussés
Une fois n'est pas coutume, les hackers se sont fait prendre à leur propre jeu. Dans cette histoire de l'arroseur arrosé, un passionné d'informatique a réussi à remonter jusqu'à eux. Il lui aura fallu quelques jours, de mauvaises permissions de la part des pirates du web, un peu d'astuce et beaucoup de détermination.
Tout commence à l'été 2022, au Maroc. Julien Gadanho, est un jeune joueur de poker. Entre deux parties, il est contacté pour désinfecter une centaine de sites touchés par ce hack. Pour ce hacker, c'est l'occasion de remettre les gants. Habitué à ce genre de sauvetage, un détail l'intrigue après presque une semaine de nettoyage. Sur l'URL d'un des sites apparait un dragon codé en JavaScript tournant à l'infini. Une pratique peu commune pour ce genre de hack.
Intrigué par cette URL, il décide de continuer les investigations. Après avoir contacté l'hébergeur pour effectuer un signalement, l'expert en informatique tombe sur une série de codes pas encore obfusqués, c'est-à-dire encore lisibles par un humain. Là encore, on note un manque de précaution assez inhabituel pour des hackers.
Julien Gadanho y débusque une adresse IP appartenant aux pirates informatiques. Grâce à une attaque par force brute, il teste les dossiers présents sur le site accessible via l'IP. Il tombe sur une page qui permet, en envoyant un fichier, de rendre les malwares illisibles pour les humains. En exploitant une faille LFI, pour local file inclusion, qui permet à un attaquant de voler des données sensibles sur un site web, Julien Gadhano détourne le formulaire. En tapant simplement "index.php" dans l'encart "Lien".
"Grâce à cette manœuvre, j'ai pu mettre ensuite une backdoor, ou porte dérobée, qui est un fichier permettant de taper des commandes et de modifier les fichiers sur leurs machines en utilisant... une backdoor à eux", s'exclame-t-il.
Accès en "open bar"
Il a désormais accès à tous les contenus présents sur le serveur Windows. Il y découvre des informations servant à se connecter via le protocole RDP, qui permet de se connecter à distance sur un poste. Une fois connecté et après avoir vérifié qu'il ne risquait pas de se faire repérer, il arrive dans "le saint des saints", la page où communiquent en direct les pirates. De manière discrète, il découvre sur l'écran contrôlé à distance une page où apparait un fil Telegram et toutes sortes d'outils.
Julien Gadanho remarque aussi que les communications sont faites en chinois par des jeunes personnes, des mineurs apparemment. Localisés dans un même bâtiment à Nanchen, ils communiquent ensemble de 9 heures à 18 heures sur les hacks WordPress. Ils doivent rendre compte chaque lundi à leur patron. Une véritable école de hackers. Bien organisée.
Le boss fournit : des numéro de téléphones et les Gmail. Ils se connectent avec un VPN sur un VPS qui lui même utilise un VPN :D. Ils se partagent des données sur Google Sheets. C'est plutôt bien structuré.
— Julien Gadanho (@Julien_Gadanho) January 19, 2024
Vivre et laisser mourir
Julien Gadanho hésite : que faire de tous les fichiers ? Il décide de poster un message public sur Twitter public faisant part de ses préoccupations sur la marche à suivre.
Y a un ou plusieurs chinois qui prenai(ent) un malin plaisir à piloter des sites que je dois nettoyer. Manque de chance, j'ai trouvé le backend. C'est un Windows avec une LFI et de mauvaises permissions. J'hésite entre le ransomware et le rm -rf...
— Julien Gadanho (@Julien_Gadanho) August 11, 2022
Finalement, il estime que la meilleure solution est de supprimer les fichiers trouvés. Non sans avoir effectué une sauvegarde auparavant et prévenu les hackers de cela. Il leur laisse même une adresse mail jetable Yopmail pour qu'ils le contactent. Et leur fait à son tour un petit clin d'œil en fin de message.
"Après avoir tout détruit, je me reconnecte le lendemain", assure-t-il. "Ils me demandent qui je suis. Je ne réponds pas et vais me coucher." Il les hacke de nouveau le sur-lendemain, car le fichier qui lui permet de garder l'accès est toujours présent sur le serveur. Après cela, il perd leurs traces. Jusqu'à il y a quelques mois. "Je les ai croisés sur un serveur. Je n'ai pas cherché à les suivre".
Le groupe infiltré mettra-t-il fin à ces hacks après cet épisode ? Julien Gadanho ne se fait pas d'illusion sur la portée de son acte. "L'activité des hackers a dû baisser momentanément car tous leurs dossiers ont fuité. Ils ont dû réaliser un grand nombre de migrations. Mais leurs activités ont repris depuis. Il faudrait qu'un acteur politique important ou une grande entreprise mette la pression pour qu'ils soient réellement inquiétés."