IoT Reaper – Le Calme Qui Précède La Tempête

Reaper & L’IoT : Serait-Ce Le Calme Qui Précède La Tempête?

Cela fait un peu plus d’un an que le monde a été témoin de la suppression de certains des meilleurs sites Web en ligne par “Mirai”, les logiciels malveillants zombies qui asservissait les appareils “Internet of Things” (IoT) tels que les routeurs sans fil. , caméras de sécurité et enregistreurs vidéo numériques pour les utiliser à des attaques en ligne à grande échelle.

Maintenant, les experts sonnent l’alarme sur l’émergence de ce qui semble être une variété beaucoup plus puissante de logiciels malveillants d’attaque IoT – appelés “Reaper” et “IoTroop” – qui se propagent via les failles de sécurité dans les logiciels et matériels IoT. Selon des indications récentes, Il y a déjà plus d’un million d’organisations qui peuvent être affectées par ces logiciels malveillants.

Pour le moment, Reaper n’attaque personne. Il est apparemment content de se morfondre depuis les endroits les plus sombres d’Internet. Mais si l’histoire est un enseignant, nous jouirons vraisemblablement d’une période de faux calme avant qu’une autre vague d’attaque IoT ne se brise.

Le 19 octobre 2017, des chercheurs de la société de sécurité CheckPoint ont annoncé qu’ils suivaient le développement d’un nouveau botnet IoT massif «en train de se former pour créer une cyber-tempête qui pourrait détruire Internet». CheckPoint a déclaré que le malware appelé “IoTroop”, avait déjà infecté environ un million d’organisations.

La découverte a eu lieu presque un an après que l’Internet ait été témoin de l’une des cyberattaques les plus percutantes – contre la société d’infrastructure en ligne Dyn aux mains de “Mirai“, une souche de malware IoT apparue pour la première fois l’été 2016. Cependant, cette nouvelle souche de malware IoT “évolue et recrute des appareils IoT à un rythme beaucoup plus rapide et avec plus de dommages potentiels que le botnet Mirai de 2016 a causé.

Contrairement à Mirai – qui se faufile dans les appareils IoT vulnérables en utilisant les noms d’utilisateur et mots de passe par défaut ou codés en usine – cette nouvelle menace IoT exploite au moins neuf vulnérabilités de sécurité connues dans près d’une douzaine de fabricants d’appareils différents, y compris AVTECH, D-Link, GoAhead, Netgear, et Linksys, entre autres (cliquez sur le lien de chaque fournisseur pour voir les avis de sécurité pour les failles).

Mirai et IoTroop, tous les deux sont des vers informatiques; Ils sont conçus pour se propager automatiquement d’un périphérique infecté à un autre. Les chercheurs ne peuvent pas dire avec certitude pourquoi IoTroop sera utilisé, mais il est basé au moins en partie sur Mirai, qui a été fait pour lancer des attaques par déni de service distribué (DDoS).

Alors que les attaques DDoS ciblent un seul site Web ou un hôte Internet, elles entraînent souvent une interruption généralisée de l’Internet collatéral. Les logiciels malveillants IoT se propagent en scannant Internet pour d’autres périphériques vulnérables, et cette activité de scan est parfois si agressive qu’elle constitue un DDoS involontaire sur les routeurs domestiques, les caméras Web et les DVR que le code bot tente de subvertir et recruter dans le botnet.

Toutefois, selon une étude publiée le 20 octobre par la société de sécurité chinoise Netlab 360, la numérisation effectuée par la nouvelle souche de malwares IoT (Netlab l’appelle le plus mémorable “Reaper”) n’est pas très agressive et vise à propager plus délibérément que Mirai. Les chercheurs de Netlab disent que Reaper emprunte partiellement des code source Mirai, mais il est significativement différent de Mirai dans plusieurs comportements clés, en incluant une évolution qui permet à Reaper de recruter plus discrètement de nouvelles recrues et de voler plus facilement sous le radar des outils de sécurité à la recherche d’activités suspectes sur le réseau local.

SIGNES D’AVERTISSEMENT ET EVOLUTION

Peu de gens le savaient ou le réalisaient à l’époque, mais même avant que les attaques de Mirai ne commencent en août 2016, il y avait de nombreux signes qui laissent croire que quelque chose de grand se préparait. Tout comme l’eau de mer recule parfois de quelques centaines de mètres de son littoral normal juste avant le tsunami, les cybercriminels ont passé l’été 2016 en utilisant leur malware dernier cri Mirai pour siphonner le contrôle des appareils IoT mal sécurisés d’autres hackers qui utilisaient des logiciels malveillants IoT inférieures.

Mirai a été conçu pour prendre le contrôle des systèmes infectés par les variantes de la contagion précoce de malware IoT connue sous le nom de “Qbot” – et il l’a fait avec gusto immédiatement après son injection sur Internet fin juillet 2016. Comme documenté en détail dans “Who Is Anna Senpai, the Mirai Worm Author?“, Les auteurs apparents de Mirai ont nargué les nombreux botmasters de Qbot dans les publications de forum de hacker, promettant qu’ils avaient juste déchaîné une nouvelle maladie numérique qui remplacerait tous les dispositifs infectés de Qbot avec Mirai.

Les architectes de Mirai ont été fidèles à leur parole: Sans pitié, leur création a pris le contrôle de centaines de milliers d’appareils IoT, propageant la maladie à l’échelle mondiale et provoquant l’extinction totale des variantes de Qbot. Mirai a évolué, et Qbot a pris le chemin des dinosaures.

Le 20 septembre 2016, KrebsOnSecurity.com a été frappé par une attaque monstre du botnet alimenté par la première copie connue de Mirai. Cette attaque, qui a atteint 620 Gbps, était presque deux fois la taille de la société qui m’assurait l’atténuation DDoS, à l’époque Akamai protégeait mon site gratuitement depuis des années, mais lorsque les attaquants de Mirai ne sont pas partis et ont mis le feu, Akamai a déclaré que l’attaque sur ce site causait des problèmes à ses clients payants et qu’il était temps de partir.

Heureusement, plusieurs jours plus tard, Google a fait entrer KrebsOnSecurity dans l’écurie de sites Web de journalistes et de militants admissibles à son programme Project Shield, qui offre une protection DDoS aux rédactions et aux sites Web confrontés à diverses formes de censure en ligne.

Le même botnet original Mirai serait utilisé pour lancer une énorme attaque – plus d’un térabit de données par seconde – contre la société d’hébergement française OVH. Après l’attention médiatique portée à l’attaque de ce site et l’assaut d’OVH, les auteurs de Mirai ont publié le code source de leur création, engendrant des douzaines de clones Mirai que tous ont rivalisé pour le droit d’affecter un groupe fini d’appareils IoT vulnérables.

Probablement le plus grand clone de Mirai à sortir du déversement de code source a été utilisé dans une attaque très perturbatrice le 20 octobre 2016 contre le géant de l’infrastructure Internet Dyn (maintenant partie d’Oracle). Certaines des plus grandes destinations d’Internet – y compris Twitter, SoundCloud, Spotify et Reddit – étaient inaccessibles pour de grandes périodes de temps ce jour-là parce que Mirai ciblait un service critique que Dyn fournit à ces entreprises.

[NOTE DE L’AUTEUR: Certaines personnes croient que l’attaque de Dyn était en représailles pour des informations présentées publiquement des heures avant l’attaque par le chercheur Dyn Doug Madory. La discussion portait sur une recherche sur laquelle nous avions travaillé ensemble pour raconter l’histoire assez sommaire d’une entreprise d’atténuation des attaques DDoS qui avait le talent d’annexer l’espace d’adressage Internet de ses voisins dans une relation de rancune personnelle entre les auteurs Mirai et botmasters.]

pour une histoire explorant l’histoire plutôt sommaire d’une entreprise d’atténuation de DDoS qui avait un talent pour annexer l’espace d’adressage Internet de ses voisins dans un match de rancune personnelle entre cette entreprise d’atténuation, les auteurs originaux de Mirai et les et botmasters

Il y a fort à parier que celui qui est responsable de la construction de ce nouveau botnet Reaper IoT aura une puissance de feu plus que suffisante pour exécuter des attaques de type Dyn aux points de pression sur Internet. Des attaques comme celles-ci peuvent provoquer des perturbations Internet généralisées, car elles ciblent des passerelles virtuelles où les fournisseurs d’infrastructure tiers communiquent avec les foules de sites Web clients, qui alimentent à leur tour les habitudes en ligne d’innombrables internautes.

Il est essentiel d’observer que Reaper n’a pas été conçu pour lancer des attaques DDoS: un réseau mondial de millions de périphériques IoT piratés peut être utilisé à diverses fins, comme servir de sorte de proxy distribué ou de réseau anonyme. pool de périphériques infectés pouvant servir de points de départ pour l’exploration et l’exploitation d’autres périphériques dans les réseaux d’entreprise compromis.

“Pendant que certains aspects techniques nous amènent à soupçonner une possible connexion au botnet Mirai, il s’agit d’une toute nouvelle campagne qui se répand rapidement dans le monde entier”, prévient CheckPoint. “Il est trop tôt pour évaluer les intentions des acteurs de la menace, mais il est essentiel de mettre en place les mécanismes de préparation et de défense appropriés avant qu’une attaque ne frappe”.

ET LA BONNE NOUVELLE EST?

Il y a eu des développements positifs sur le front de la sécurité de l’IoT: deux auteurs possibles de Mirai ont été identifiés (même s’ils ne sont pas encore inculpés), et certains des plus grands botmasters de Mirai ont été arrêtés et condamnés.

Certains des services DDoS les plus meurtriers sur Internet ont été fermés par Mirai ou ont été fermés de force l’année dernière, y compris vDOS, l’un des services d’attaque les plus anciens d’Internet. Les prétendus fournisseurs de vDOS – deux hommes israéliens sortis pour la première fois par KrebsOnSecurity après que leur service a été massivement piraté l’année dernière – ont été arrêtés plus tard et attendent actuellement leur procès en Israël pour des accusations de cybercriminalité.

Utilisant une combinaison d’arrestations et d’interviews, le FBI et ses homologues en Europe ont clairement indiqué que le fait de parrainer ou de vendre des services DDoS-for-hire – souvent appelés “booters” ou “stressers” – est une activité illégale qui peut emprisonner les contrevenants.

La sensibilisation du public à la sécurité de l’IoT est en hausse, avec les législateurs de Washington promettent des mesures législatives si l’industrie de la technologie continue de produire du matériel IoT indésirable qui est l’équivalent Internet des déchets toxiques.

Néanmoins, les fabricants de périphériques IoT continuent d’expédier des produits avec peu ou pas de sécurité activée par défaut ou avec des fonctionnalités mal avisées qui peuvent être utilisées pour subvertir toute sécurité intégrée.

Qu’est Ce Qu’On Peut Faire Alors?

According to Netlab, about half of the security vulnerabilities exploited by Reaper were first detailed in just the past few months, suggesting there may be a great number of unpatched and vulnerable systems in real danger from this new IoT malware strain.

Vérifiez que votre réseau ne fait pas partie du problème: les liens consultatifs de Netlab vers des correctifs spécifiques disponibles par le fournisseur, ainsi que les indicateurs de compromis et l’emplacement des différents réseaux de contrôle Reaper. La publication de CheckPoint répartit les périphériques concernés par numéro de version, mais ne semble pas inclure de liens vers des avis de sécurité ou des correctifs.

Veuillez noter que la plupart des appareils concernés sont des caméras ou des magnétoscopes numériques, mais il existe également un certain nombre de routeurs filaires / sans fil à la vente listés ici (en particulier pour les appareils D-Link et Linksys).

Un problème incessant avec les dispositifs IoT populaires est l’inclusion de la fonctionnalité de réseau pair à pair (P2P) dans d’innombrables caméras de sécurité, DVR et autres équipements.

Jake Reynolds, associé et consultant de Depth Security basé à Kansas City, au Royaume-Uni, a publié plus tôt ce mois-ci des recherches sur une faiblesse P2P sérieuse intégrée dans de nombreux DVR / Lorex DVR et caméras de sécurité qui pourraient permettre aux pirates de localiser et d’accéder aux systèmes vulnérables qui autrement ne sont pas directement connectés à Internet (Les mises à jour des consultatifs et des correctifs de FLIR sont ici).

En février 2016, KrebsOnSecurity a mis en garde contre une faiblesse similaire alimentant le composant P2P intégré dans d’innombrables caméras de sécurité faites par Foscam. Cette histoire a noté que, bien que le composant P2P ait été activé par défaut, le désactiver dans les paramètres de sécurité de l’appareil n’a rien fait pour désactiver les communications P2P. Etre capable de le faire n’était possible qu’après avoir appliqué un correctif de firmware mis à disposition par Foscam après que les utilisateurs aient commencé à se plaindre. Mon conseil est de rester à l’écart des produits qui annoncent la fonctionnalité P2P.

Une autre raison pour laquelle les périphériques IoT sont prêts à être exploités par des vers tels que Reaper et Mirai est que les fournisseurs publient rarement des mises à jour de sécurité pour leur firmware, et quand ils le font, il n’y a souvent aucune méthode facile pour avertir les utilisateurs. En outre, ces mises à jour sont notoirement difficiles à faire et faciles à bousiller, laissant souvent l’imprudent et le desappris avec un presse-papier surdimensionné après une mise à jour du firmware bousillée. Donc, s’il est temps de mettre à jour votre appareil, faites-le lentement et avec soin.

Ce qui est intéressant à propos de Reaper, c’est qu’il est actuellement construit pour vivre harmonieusement avec Mirai. Il n’est pas immédiatement clair si les deux souches de malware IoT sont en concurrence pour l’un des mêmes périphériques, bien que certains chevauchements se produisent – en particulier lorsque les auteurs Reaper ajoutent de nouvelles fonctionnalités et mécanismes d’étalement (Netlab et Checkpoint disent que le code Reaper semble être un travail en progression).

Cette nouvelle fonctionnalité de Reaper pourrait bien inclure la possibilité de rechercher et de supplanter les infections Mirai (comme Mirai l’a fait avec Qbot), ce qui aiderait Reaper à atteindre des nombres encore plus terrifiants.

Peu importe l’innovation apportée par Reaper, j’espère que les connaissances partagées au sein de la communauté de sécurité sur la façon de se défendre contre les attaques de Mirai aujourd’hui s’avèrent utiles pour finalement aider à réduire les attaques de Reaper demain.