Table Des Matières
Points clés:
- Un botnet massif se forme pour créer une cyber-tempête qui pourrait détruire l’Internet.
- On estime qu’un million d’organisations ont déjà été scannées avec une quantité inconnue réellement infectée.
- Le Botnet recrute des appareils IoT tels que des caméras IP sans fil pour effectuer l’attaque.
De nouveaux nuages d’une cyber-tempête se rassemblent. Les chercheurs de “Check Point” ont découvert un tout nouveau Botnet, surnommé “IoTroop”, l’évolution et le recrutement d’appareils IoT à un rythme beaucoup plus rapide et avec plus de dommages potentiels qu’a causé le botnet Mirai de 2016.
Les Botnets IoT sont des dispositifs intelligents connectés à Internet qui ont été infectés par le même logiciel malveillant et sont contrôlés par un acteur exerçant sa menace à partir d’un emplacement distant. Ils ont été à l’origine de certaines des cyberattaques les plus dommageables contre des organisations dans le monde entier, y compris les hôpitaux, les ligne et les liaisons de transport nationales, les sociétés de communication et les partis /mouvements politiques.
Pendant que certains aspects techniques nous amènent à soupçonner un lien possible avec Mirai, c’est une campagne entièrement nouvelle et beaucoup plus sophistiquée qui se répand rapidement dans le monde entier. Il est trop tôt pour deviner les intentions des acteurs de la menace, mais avec les précédentes attaques DDoS Botnet qui détruisent essentiellement Internet, Il est essentiel que les organisations fassent les préparatifs nécessaires et que les mécanismes de défense soient mis en place avant qu’une attaque ne frappe.
Des signes inquiétants ont été détectés pour la première fois par le système de prévention des intrusions (IPS) de Check Point au cours des derniers jours de septembre. Un nombre croissant de tentatives ont été faites par des pirates pour exploiter une combinaison de vulnérabilités trouvées dans divers dispositifs IoT.
Chaque jour qui passait, les logiciels malveillants évoluent pour exploiter un nombre croissant de vulnérabilités dans les appareils de caméra IP sans fil tels que GoAhead, D-Link, TP-Link, AVTECH, NETGEAR, MikroTik, Linksys, Synology et autres. Il est rapidement devenu évident que les tentatives d’attaques provenaient de nombreuses sources différentes et d’une variété de dispositifs IoT, ce qui signifie que l’attaque était diffusée par les dispositifs IoT eux-mêmes.
Jusqu’à présent, nous estimons que plus d’un million d’organisations ont déjà été scannées dans le monde entier, y compris aux États-Unis, en Australie et partout ailleurs, et ce nombre ne fait qu’augmenter.
Nos recherches suggèrent que nous vivons maintenant le calme avant une tempête encore plus puissante. Le prochain cyber-ouragan est sur le point de venir.
Contexte de recherche
La création de réseaux de périphériques infectés n’est pas une tâche rapide pour un attaquant. Afin d’établir un botnet efficace, l’attaquant doit être capable de contrôler un grand nombre de périphériques. Comme envoyer le code malveillant à chaque périphérique individuellement serait une tâche longue et fastidieuse, Il est beaucoup plus facile de faire en sorte que chaque périphérique infecté répande le code malveillant sur d’autres appareils similaires. Cette méthode d’attaque est considérée comme une attaque de propagation, et est essentielle pour créer rapidement un grand réseau d’appareils contrôlés.
Nos recherches ont débuté à la fin du mois de septembre ’17 après avoir constaté une augmentation des tentatives de pénétrer dans nos protections IPS de l’IOT. Suite à cette activité suspecte, nous avons rapidement réalisé que nous étions témoins des étapes de recrutement d’un vaste botnet IoT.
Analyse d’un nœud dans la chaîne
Avec la carte des menaces mondiales de Check Point qui montre un grand nombre de hits sur nos protections IPS de l’IoT, notre équipe a commencé à regarder certaines des sources d’attaque afin d’avoir une meilleure image de ce qui se passait. Voici une analyse de l’un de ces appareils.
En regardant ce site, nous pouvons constater que cette adresse IP spécifique (brouillée ci-dessus) appartient à une caméra GoAhead avec un Port 81 ouvert fonctionnant sur TCP. Ceci est juste un exemple d’un type de périphérique infecté. Il y en a beaucoup d’autres – par ex. Les appareils D-Link, NETGEAR et TP-Link pour n’en nommer que quelques-uns.
Lors d’une inspection plus approfondie, le fichier System.ini (illustré ci-dessous) du périphérique sur cette adresse IP a été consulté pour vérifier la présence de compromissions. Sur une machine normale, ce fichier contiendrait les informations d’identification de l’utilisateur. Ce qu’a été trouvé sur ce périphérique, cependant, était une version modifiée avec une commande ‘Netcat’ qui ouvrait un shell inversé à l’adresse IP de l’attaque. Ceci nous indique que cette machine était simplement un lien dans la chaîne et qu’elle était à la fois infectée et transmettant ensuite l’infection. Dans ce cas, la vulnérabilité ‘CVE-2017-8225’ a été utilisée pour pénétrer le périphérique GoAhead et, après avoir infecté une machine cible, cette même cible a commencé à rechercher d’autres périphériques à infecter.
Après d’autres recherches, il a été constaté que de nombreux dispositifs étaient à la fois ciblés et envoyant plus tard l’infection. Ces attaques provenaient de différents types d’appareils et de nombreux pays, totalisant environ 60% des réseaux d’entreprise faisant partie du réseau mondial ‘ThreatCloud’.
Pour conclure, un nouveau botnet a évolué ces derniers jours. Alors que certains aspects techniques nous amènent à soupçonner une possible connexion au botnet Mirai, il s’agit d’une toute nouvelle campagne qui se répand rapidement dans le monde entier. Il est trop tôt pour évaluer les intentions des acteurs de la menace, mais il est essentiel d’avoir les mécanismes de préparation et de défense appropriés avant que l’attaque ne se produise.
Couverture IPS
Bien que cela puisse constituer une menace émergente de millions d’attaques, les méthodes d’infection sont déjà empêchées par Check Point IPS. La vulnérabilité répertoriée a été couverte et les périphériques sont actuellement surveillés en ce qui concerne les nouvelles variantes. Le tableau ci-dessous décrit les protections IoT publiées par IPS qui sont liées et potentiellement connexes à cette attaque.
| Vendeur | Nom de protection | Vu dans le contexte de l’attaque actuelle? |
| GoAhead | Caméra IP sans fil (P2P) WIFICAM: Divulgation d’information sur les caméras | + |
| Caméra IP sans fil (P2P) WIFICAM: Exécution de code à distance des caméras | + | |
| D-Link | Routeur D-Link 850L: Exécution de code à distance | + |
| Routeur D-Link DIR800 Series: Exécution de code à distance | + | |
| Routeur D-Link DIR800 Series: Divulgation d’information | + | |
| Routeur D-Link 850L: Divulgation d’informations distantes non authentifiées | + | |
| Routeur D-Link 850L: Exécution de code à distance de débordement de cookie | + | |
| Contournement d’authentification de flux vidéo de caméra IP Dlink – Ver2 | + | |
| Divulgation d’information sur la luminance de la caméra IP Dlink – Ver2 Routeur D-Link DIR-600/300: Exécution de commande à distance non authentifiée | ++ | |
| Exécution de commande arbitraire authentifiée par caméra IP Dlink – Ver2 | – | |
| TP-Link | Traversée de répertoire de points d’accès sans fil N Lite TP-Link | – |
| TP-LINK WR1043N: plusieurs requêtes contrefaçon inter-sites | – | |
| Netgear DGN: Exécution de commande non authentifiée Netgear ReadyNAS: Exécution de commande à distance | ++ | |
| NETGEAR | Netgear DGN2200 dnslookup.cgi Injection de commande | – |
| Netgear ProSAFE NMS300 fileUpload.do Téléchargement arbitraire de fichiers | – | |
| NETGEAR Routers Contournement d’authentification | – | |
| NETGEAR ReadyNAS np_handler Exécution de code | – | |
| Netgear R7000 and R6400 cgi-bin Injection de commande | – | |
| AVTECH | AVTECH Devices Plusieurs vulnérabilités | + |
| MikroTik | MikroTik RouterOS SNMP Contournement de la Sécurité | – |
| MikroTik RouterOS Modification du mot de passe administrateur | – | |
| Mikrotik Router Déni de service à distance | – | |
| Linksys | Belkin Linksys WRT110 Exécution de commande à distance – Ver2 | – |
| Linksys WRH54G Exécution du code DoS de l’interface de gestion HTTP – Ver2 | – | |
| Belkin Linksys WRT110 Exécution de commande à distance | – | |
| Belkin Linksys Traversée du répertoire de plusieurs produits | – | |
| Belkin Linksys E1500/E2500 Exécution de commande à distance | + | |
| Débordement de la mémoire tampon de contrôle ActiveX du lecteur Linksys PlayerPT de Cisco | – | |
| Cisco Linksys PlayerPT ActiveX Control SetSource sURL débordement du tampon argument | – | |
| Synology | Synology DiskStation Manager Exécution du code SLICEUPLOAD | – |
| Linux | Divulgation d’informations sur les fichiers système Linux | + |
