Plusieurs entreprises de sécurité ont découvert un nouveau botnet se composant ‘d’appareils intelligents’, tout comme l’était le botnet Mirai qui avait réussi l’année dernière à paralyser internet. Ce nouveau botnet a pris d’énormes proportions le mois passé.
Le botnet, qui incorpore sans doute déjà des millions d’appareils, a été baptisé IoT_Reaper ou Reaper en abrégé. Des chercheurs de la firme chinoise de sécurité Qihoo 360 et de l’israélienne Check Point ont élaboré à son sujet un rapport, dans lequel ils mettent en garde contre les effets et les objectifs du botnet. Selon les chercheurs, le botnet exploite des fragments du code qu’utilisait aussi le botnet IoT Mirai, mais la nouvelle menace est plus sophistiquée, et le botnet nettement plus imposant.
Mirai, rappelez-vous, était un botnet composé de milliers de gadgets IoT, dont des imprimantes, caméras de surveillance et babyphones. Il y a un an, il était parvenu à paralyser internet dans certaines parties du monde au moyen d’une attaque ciblée lancée sur le service Dyn DNS, l’une des ‘tours de contrôle’ d’internet. Des services tels Twitter et Spotify en furent aussi impactés. Ce qui était étonnant dans le cas du botnet Mirai, c’est qu’il recourait à une technologie assez simple, qui testait par exemple des mots de passe standard sur des caméras IP et d’autres appareils ‘connectés’ en vue de les ajouter au botnet.
La nouvelle menace Reaper va encore plus loin et utiliserait effectivement des techniques de piratage pour s’introduire dans les appareils. Alors que Mirai se contentait de tester si la porte était ouverte, Reaper tente donc d’en crocheter la serrure. Avec succès d’ailleurs car selon les chercheurs, le botnet aurait déjà rallié à lui des appareils présents dans un million de réseaux.
A vos patches…
Les chercheurs signalent que Reaper n’a pas encore été utilisé pour des attaques et que le système en est encore à une phase initiale. Ils parlent d’un ‘baby’ botnet en train de grandir. Le malware Reaper exploite un tas de techniques d’attaque, dont certaines spécialisées ciblant les routeurs de D-Link, Netgear et Linksys, mais aussi quelques marques de caméras de surveillance. Pour ces appareils, des correctifs (patches) existent souvent déjà, mais beaucoup d’utilisateurs n’ont pas l’habitude de corriger leur routeur et encore moins leur caméra IP.
Selon Check Point, soixante pour cent des réseaux contrôlés sont infectés par le maliciel Reaper. Qihoo 360 indique pour sa part que 10.000 appareils du botnet communiquent quotidiennement avec le serveur ‘command-and-control’ des hackers, mais qu’il y a également des millions d’appareils en attente. Ils n’attendent plus qu’un fragment de software pour être ajoutés au botnet.
Les chercheurs recommandent d’actualiser les gadgets tels des routeurs et des caméras. Sur le site de Check Point, on trouve une liste de gadgets qui peuvent être vulnérables. La firme conseille quoi qu’il en soit de mettre à jour tous les appareils repris sur cette liste ou d’y re-paramétrer les valeurs d’origine, ce qui permettra d’en supprimer le malware. Un nouveau patch n’est sans doute pas une mauvaise idée surtout pour les routeurs, après l’émoi causé par la faille WPA2.
Objectifs à grande échelle?
L’année dernière, Mirai était parvenu à paralyser de grandes parties du net en lançant une attaque DDoS sur le service Dyn DNS. Dans le cas d’une telle attaque, une masse d’appareils tente d’établir simultanément une connexion avec un serveur, ce qui fait que ce dernier ne peut faire face à la demande et refuse finalement tout service. Reaper ne s’est pas encore manifesté, mais Check Point signale qu’avec une mini-armée d’appareils IoT, il n’y a pas grand-chose d’autre à faire que de lancer des attaques DDoS.
Le malware utilisée par le botnet contient en outre du code permettant de télécharger des modules supplémentaires vers des machines infectées. Les auteurs du botnet pourraient donc très vite lancer des attaques. On ne connait cependant pas encore ses véritables intentions, mais les firmes de sécurité sont déjà sur leurs gardes. ”C’est à présent le calme avant une véritable tempête”, écrit Check Point sur un ton quelque peu dramatique. “Le prochain cyber-ouragan est annoncé!”
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici