Botnet - IoTrooP

Table Des Matières

Points clés:

  • Un botnet massif se forme pour créer une cyber-tempête qui pourrait détruire l’Internet.
  • On estime qu’un million d’organisations ont déjà été scannées avec une quantité inconnue réellement infectée.
  •  Le Botnet recrute des appareils IoT tels que des caméras IP sans fil pour effectuer l’attaque.

De nouveaux nuages d’une cyber-tempête se rassemblent. Les chercheurs de “Check Point” ont découvert un tout nouveau Botnet, surnommé « IoTroop », l’évolution et le recrutement d’appareils IoT à un rythme beaucoup plus rapide et avec plus de dommages potentiels qu’a causé le botnet Mirai de 2016.

Les Botnets IoT sont des dispositifs intelligents connectés à Internet qui ont été infectés par le même logiciel malveillant et sont contrôlés par un acteur exerçant sa menace à partir d’un emplacement distant. Ils ont été à l’origine de certaines des cyberattaques les plus dommageables contre des organisations dans le monde entier, y compris les hôpitaux, les ligne et les liaisons de transport nationales, les sociétés de communication et les partis /mouvements politiques.

Pendant que certains aspects techniques nous amènent à soupçonner un lien possible avec Mirai, c’est une campagne entièrement nouvelle et beaucoup plus sophistiquée qui se répand rapidement dans le monde entier. Il est trop tôt pour deviner les intentions des acteurs de la menace, mais avec les précédentes attaques DDoS Botnet qui détruisent essentiellement Internet, Il est essentiel que les organisations fassent les préparatifs nécessaires et que les mécanismes de défense soient mis en place avant qu’une attaque ne frappe.

Des signes inquiétants ont été détectés pour la première fois par le système de prévention des intrusions (IPS) de Check Point au cours des derniers jours de septembre. Un nombre croissant de tentatives ont été faites par des pirates pour exploiter une combinaison de vulnérabilités trouvées dans divers dispositifs IoT.

Chaque jour qui passait, les logiciels malveillants évoluent pour exploiter un nombre croissant de vulnérabilités dans les appareils de caméra IP sans fil tels que GoAhead, D-Link, TP-Link, AVTECH, NETGEAR, MikroTik, Linksys, Synology et autres. Il est rapidement devenu évident que les tentatives d’attaques provenaient de nombreuses sources différentes et d’une variété de dispositifs IoT, ce qui signifie que l’attaque était diffusée par les dispositifs IoT eux-mêmes.

Botnet - Tendances d'attaques des adresses IP

Jusqu’à présent, nous estimons que plus d’un million d’organisations ont déjà été scannées dans le monde entier, y compris aux États-Unis, en Australie et partout ailleurs, et ce nombre ne fait qu’augmenter.

Nos recherches suggèrent que nous vivons maintenant le calme avant une tempête encore plus puissante. Le prochain cyber-ouragan est sur le point de venir.

Contexte de recherche

La création de réseaux de périphériques infectés n’est pas une tâche rapide pour un attaquant. Afin d’établir un botnet efficace, l’attaquant doit être capable de contrôler un grand nombre de périphériques. Comme envoyer le code malveillant à chaque périphérique individuellement serait une tâche longue et fastidieuse, Il est beaucoup plus facile de faire en sorte que chaque périphérique infecté répande le code malveillant sur d’autres appareils similaires. Cette méthode d’attaque est considérée comme une attaque de propagation, et est essentielle pour créer rapidement un grand réseau d’appareils contrôlés.

Nos recherches ont débuté à la fin du mois de septembre ’17 après avoir constaté une augmentation des tentatives de pénétrer dans nos protections IPS de l’IOT. Suite à cette activité suspecte, nous avons rapidement réalisé que nous étions témoins des étapes de recrutement d’un vaste botnet IoT.

Analyse d’un nœud dans la chaîne

Avec la carte des menaces mondiales de Check Point qui montre un grand nombre de hits sur nos protections IPS de l’IoT, notre équipe a commencé à regarder certaines des sources d’attaque afin d’avoir une meilleure image de ce qui se passait. Voici une analyse de l’un de ces appareils.

Botnet - un exemple d'un type de périphérique infecté

En regardant ce site, nous pouvons constater que cette adresse IP spécifique (brouillée ci-dessus) appartient à une caméra GoAhead avec un Port 81 ouvert fonctionnant sur TCP. Ceci est juste un exemple d’un type de périphérique infecté. Il y en a beaucoup d’autres – par ex. Les appareils D-Link, NETGEAR et TP-Link pour n’en nommer que quelques-uns.

Lors d’une inspection plus approfondie, le fichier System.ini (illustré ci-dessous) du périphérique sur cette adresse IP a été consulté pour vérifier la présence de compromissions. Sur une machine normale, ce fichier contiendrait les informations d’identification de l’utilisateur. Ce qu’a été trouvé sur ce périphérique, cependant, était une version modifiée avec une commande ‘Netcat’ qui ouvrait un shell inversé à l’adresse IP de l’attaque. Ceci nous indique que cette machine était simplement un lien dans la chaîne et qu’elle était à la fois infectée et transmettant ensuite l’infection. Dans ce cas, la vulnérabilité ‘CVE-2017-8225’ a été utilisée pour pénétrer le périphérique GoAhead et, après avoir infecté une machine cible, cette même cible a commencé à rechercher d’autres périphériques à infecter.

Botnet - fichier System.ini

Après d’autres recherches, il a été constaté que de nombreux dispositifs étaient à la fois ciblés et envoyant plus tard l’infection. Ces attaques provenaient de différents types d’appareils et de nombreux pays, totalisant environ 60% des réseaux d’entreprise faisant partie du réseau mondial ‘ThreatCloud’.

Botnet - réseau mondial ‘ThreatCloud’

Pour conclure, un nouveau botnet a évolué ces derniers jours. Alors que certains aspects techniques nous amènent à soupçonner une possible connexion au botnet Mirai, il s’agit d’une toute nouvelle campagne qui se répand rapidement dans le monde entier. Il est trop tôt pour évaluer les intentions des acteurs de la menace, mais il est essentiel d’avoir les mécanismes de préparation et de défense appropriés avant que l’attaque ne se produise.

Couverture IPS

Bien que cela puisse constituer une menace émergente de millions d’attaques, les méthodes d’infection sont déjà empêchées par Check Point IPS. La vulnérabilité répertoriée a été couverte et les périphériques sont actuellement surveillés en ce qui concerne les nouvelles variantes. Le tableau ci-dessous décrit les protections IoT publiées par IPS qui sont liées et potentiellement connexes à cette attaque.

Vendeur Nom de protection Vu dans le contexte de l’attaque actuelle?
GoAhead Caméra IP sans fil (P2P) WIFICAM: Divulgation d’information sur les caméras +
Caméra IP sans fil (P2P) WIFICAM: Exécution de code à distance des caméras +
D-Link Routeur D-Link 850L: Exécution de code à distance
+
Routeur D-Link DIR800 Series: Exécution de code à distance +
Routeur D-Link DIR800 Series: Divulgation d’information +
Routeur D-Link 850L: Divulgation d’informations distantes non authentifiées +
Routeur D-Link 850L: Exécution de code à distance de débordement de cookie +
Contournement d’authentification de flux vidéo de caméra IP Dlink – Ver2 +
Divulgation d’information sur la luminance de la caméra IP Dlink – Ver2
Routeur D-Link DIR-600/300: Exécution de commande à distance non authentifiée
++
Exécution de commande arbitraire authentifiée par caméra IP Dlink – Ver2
TP-Link Traversée de répertoire de points d’accès sans fil N Lite TP-Link
TP-LINK WR1043N: plusieurs requêtes contrefaçon inter-sites
Netgear DGN:  Exécution de commande non authentifiée
Netgear ReadyNAS: Exécution de commande à distance
++
NETGEAR Netgear DGN2200 dnslookup.cgi Injection de commande
Netgear ProSAFE NMS300 fileUpload.do Téléchargement arbitraire de fichiers
NETGEAR Routers Contournement d’authentification
NETGEAR ReadyNAS np_handler Exécution de code
Netgear R7000 and R6400 cgi-bin Injection de commande
AVTECH AVTECH Devices Plusieurs vulnérabilités +
MikroTik MikroTik RouterOS SNMP Contournement de la Sécurité
MikroTik RouterOS Modification du mot de passe administrateur
Mikrotik Router Déni de service à distance
Linksys Belkin Linksys WRT110 Exécution de commande à distance – Ver2
Linksys WRH54G Exécution du code DoS de l’interface de gestion HTTP – Ver2
Belkin Linksys WRT110 Exécution de commande à distance
Belkin Linksys Traversée du répertoire de plusieurs produits
Belkin Linksys E1500/E2500 Exécution de commande à distance +
Débordement de la mémoire tampon de contrôle ActiveX du lecteur Linksys PlayerPT de Cisco
Cisco Linksys PlayerPT ActiveX Control SetSource sURL débordement du tampon argument
Synology Synology DiskStation Manager Exécution du code SLICEUPLOAD
Linux Divulgation d’informations sur les fichiers système Linux +

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here