Une nouvelle attaque de botnet ” fait honte aux autres botnets IoT”
Un nouveau botnet destructeur qui compromet les appareils vulnérables de l’Internet des objets (IoT) et détourne leurs ressources pour mener des attaques dévastatrices par déni de service distribué (DDoS) est signalé par la société de recherche en sécurité Bitdefender. Le botnet IoT, que la société a nommé “dark_nexus”, a récemment été trouvé dans la nature et adopte de nouvelles approches innovantes et dangereuses pour attaquer avec succès l’infrastructure informatique.
VOIR: Cybersécurité: Soyons tactiques (PDF gratuit) (TechRepublic)
“Notre analyse a déterminé que, bien que dark_nexus réutilise du code Qbot et Mirai, ses modules principaux sont pour la plupart originaux”, a déclaré Bitdefender dans un livre blanc de 22 pages publié le 8 avril sur les attaques, “Le nouveau botnet IoT dark_nexus fait honte aux autres.”Bien que certaines de ses fonctionnalités puissent être partagées avec des botnets IoT précédemment connus, la façon dont certains de ses modules ont été développés rend dark_nexus nettement plus puissant et robuste, indique le rapport.
“Par exemple, les charges utiles sont compilées pour 12 architectures de CPU différentes et livrées dynamiquement en fonction de la configuration de la victime”, tout en utilisant une technique destinée à assurer la “suprématie” sur le périphérique compromis, selon le rapport. ” De manière unique, dark_nexus utilise un système de notation basé sur des poids et des seuils pour évaluer quels processus peuvent présenter un risque. Cela implique de maintenir une liste de processus sur liste blanche et de leurs systèmes de détection d’intrusion périmétrique (PID), et de tuer tous les autres processus qui franchissent un seuil de suspicion.”
Le botnet dark_nexus, qui comprend au moins 1 352 bots, a apparemment été développé par un auteur de botnet connu qui vend depuis des années des services DDoS et du code de botnet en ligne à d’autres attaquants à des fins lucratives.
Bogdan Botezatu, directeur de la recherche et des rapports sur les menaces pour Bitdefender, a déclaré que les attaques DDoS lancées par ce botnet peuvent permettre aux attaquants de contrôler les appareils détournés en demandant à tous les appareils compromis du botnet de visiter simultanément une page Web ou un service Web, ce qui peut écraser ce serveur sous la charge de travail.
“Les victimes ne seront même pas conscientes que leurs appareils sont utilisés comme armes contre des cibles inoffensives sur Internet, même si les résultats pourraient être catastrophiques pour les victimes ou pour le bon fonctionnement d’Internet”, a déclaré Botezatu. “Par exemple, en 2016, un groupe d’adolescents a utilisé des appareils IoT détournés pour lancer une attaque dévastatrice contre l’infrastructure Internet principale qui a perturbé Internet aux États-Unis pendant environ une journée, mettant hors ligne les entreprises du Fortune 500 et causant des pertes financières impossibles à estimer.”
Les attaques DDoS peuvent être lancées contre des serveurs, des services ou des réseaux pour les inonder de trafic, réduisant ainsi leurs opérations typiques.
Le botnet dark_nexus est mis en vente sur YouTube, avec des prix annoncés aussi bas qu’environ 18,50 $ par mois pour 2 500 secondes de démarrage, a-t-il déclaré. Pour environ 99 a par mois, les attaquants peuvent acheter un accès illimité, rendant le botnet accessible à toute personne disposant de 20 $ et de compétences informatiques assez basiques pour lancer ses propres perturbations.
” Les botmasters IoT sont en concurrence directe les uns avec les autres, et ils stimulent l’innovation en compromettant les appareils, en maintenant la persistance et en restant compétitifs sur le marché “, a déclaré Botezatu. “Ils proposent de meilleurs mécanismes d’infection que leurs concurrents, de meilleures techniques de marketing et des prix de location plus bas, ce qui rend les attaques DDoS abordables pour tous.”
Pour lutter contre les attaques du botnet dark_nexus, les consommateurs et les entreprises doivent constamment auditer leurs réseaux internes pour identifier les appareils IoT connectés et effectuer des évaluations de vulnérabilité pour découvrir des appareils non corrigés ou mal configurés avant les attaquants, a déclaré Botezatu. “Étant donné que les normes et réglementations de l’IoT sont probablement dans des années, c’est le consommateur de l’IoT qui porte la responsabilité de son infrastructure.”
Ce manque mondial de normes de sécurité IdO nécessaires, qui durciraient les appareils IdO et les rendraient moins vulnérables aux attaques, est un énorme échec dans l’industrie et permet à ce type d’attaques de botnet d’être couronnées de succès et lucratives pour les pirates.
VOIR : Sécuriser l’IoT dans votre organisation: 10 meilleures pratiques (PDF gratuit) (TechRepublic)
Entre-temps, de telles attaques peuvent être arrêtées grâce à l’utilisation d’appareils de sécurité IoT qui peuvent cibler et défendre de telles attaques au niveau du réseau en détectant le trafic anormal, et grâce à l’utilisation de dispositifs continuellement patchés qui immunisent efficacement les systèmes contre les intrusions réussies, a-t-il déclaré. Les utilisateurs peuvent également protéger leurs systèmes en désactivant les ports Telnet et SSH par défaut.
” Malheureusement, parce que la plupart des fournisseurs de l’IoT considèrent la cybersécurité comme une réflexion après coup, les botnets IoT continuent de prospérer, de se développer et d’avoir un impact sur les organisations, ce qui entraîne des pertes d’exploitation et des temps d’arrêt importants “, a-t-il déclaré.
Les versions antérieures du dark_nexus âgé d’environ 3 mois utilisaient des exploits pour la propagation, mais maintenant le botnet se propage uniquement par force brute en utilisant le protocole Telnet, a déclaré Botezatu. “C’est un fruit à portée de main car il fournit le plus grand nombre de brèches avec le coût et les efforts les plus bas”, a-t-il déclaré.
VOIR : Attaques par force brute et par dictionnaire: Une feuille de triche (PDF gratuit) (TechRepublic)
Plus de 50% de ces robots sont originaires de Chine, de Corée et de Thaïlande, a déclaré Botezatu. “Cette liste comprend des combinaisons inhabituelles que nous n’avions jamais vues auparavant utilisées par les robots, ce qui, à notre avis, suggère que l’auteur de dark_nexus a fait des efforts pour le compiler. Le botnet ne semble cibler aucune plage d’adresses IP en particulier, mais la fonction de génération aléatoire fonctionne à l’aide d’une liste noire similaire à celle de Mirai.”
Voir aussi
- Comment devenir un pro de la cybersécurité: Une feuille de triche (TechRepublic)
- Cerveau escroc derrière Catch Me If You Can talks cybersécurité (Téléchargement TechRepublic)
- Sécurité Windows 10: Un guide pour les chefs d’entreprise (TechRepublic Premium)
- Sécurité en ligne 101: Conseils pour protéger votre vie privée contre les pirates et les espions (ZDNet)
- Tous les termes VPN que vous devez connaître (CNET )
- Cybersécurité et cyberguerre : Plus de couverture à lire absolument (TechRepublic sur Flipboard)
