Articles

Le nouveau botnet IoT propose des DDoSes de tailles inimaginables pour $20

 Le nouveau botnet IoT offre des DDoSes de tailles autrefois inimaginables pour $20

Les organisateurs d’un nouveau botnet composé de routeurs domestiques et de petits routeurs de bureau infectés vendent effrontément des attaques par déni de service de volumes autrefois inimaginables pour seulement 20 dollars par cible.

Se faisant appeler Los Calvos de San Calvicie, le groupe annonce plusieurs services sur ce site. Parmi les services figurent des attaques par déni de service distribuées de 290 à 300 gigabits par seconde pour 20 dollars chacune. Alors qu’un tiers de la taille de certaines des plus grandes attaques enregistrées, 290 Gbit/s est encore suffisant pour faire tomber la plupart des sites à moins qu’ils ne recherchent des services d’atténuation des attaques DDoS, ce qui coûte dans de nombreux cas des sommes considérables. Il y a à peine cinq ans, 300Gbps était considéré comme un volume suffisant pour arrêter l’infrastructure de base d’Internet.

Les membres de Los Calvos de San Calvicie ont été aperçus en train d’assembler un botnet ces derniers jours qui a très probablement la puissance de feu nécessaire pour livrer les attaques puissantes promises. Selon Pascal Geenens, chercheur chez la société de sécurité Radware, le groupe construit le botnet en exploitant deux vulnérabilités: l’une dans les routeurs RealTek fonctionnant avec un firmware obsolète et l’autre dans le routeur Huawei HG532, où un correctif publié en décembre n’a pas encore été installé par de nombreux utilisateurs. Les deux vulnérabilités sont également exploitées par un botnet Internet des objets différent connu sous le nom de Satori.

Contrairement à la plupart des botnets IoT vus jusqu’à présent, celui suivi par Geenens, qu’il appelle JenX, utilise une poignée de serveurs non IoT pour rechercher sur Internet des appareils vulnérables et, une fois trouvés, pour les exploiter. Cela rend beaucoup plus difficile d’estimer le nombre de périphériques infectés qui composent JenX, car les routeurs vulnérables simulés que Geenens utilise dans son laboratoire pour suivre le botnet voient le même nombre limité de serveurs d’attaque.

En revanche, Mirai, Satori, Reaper et d’autres réseaux de zombies IoT s’appuient sur des appareils infectés pour localiser et infecter les appareils vulnérables. Cela permet aux honeypots tels que ceux de Geenens d’estimer la taille du botnet en fonction du nombre d’adresses IP effectuant l’analyse. JenX tire son nom de « Jennifer », le nom que les développeurs de logiciels malveillants ont donné au binaire qui infecte les appareils vulnérables.

Devine Stream

Geenens a déclaré que le but principal du botnet était d’attaquer les personnes jouant au jeu en ligne Grand Theft Auto sur certains serveurs payants. Cela peut à son tour augmenter la demande d’hébergement de jeux en sancalvicie.com . C’est le même domaine hébergeant le serveur de commande et de contrôle JenX. Il se présente comme résistant aux types d’attaques que Mirai et JenX utilisent pour faire tomber les hôtes de jeu rivaux. C’est également le même domaine qui annonce les services DDoS à la location, qui semblent être une activité secondaire de l’hébergement de jeux.

Le groupe hispanophone a baptisé son service DDoS Corriente Divina, qui se traduit par « flux divin. »Une traduction anglaise approximative du slogan du service est « La colère de Dieu sera employée contre la propriété intellectuelle que vous nous fournissez. »

Voir plus

Le groupe propose des inondations de moteurs de requêtes source et des inondations de 32 octets, qui sont des types d’attaques DDoS particulièrement efficaces pour réduire de nombreux types de services de jeu multijoueurs. Le service DDoS comprend également une option « Down OVH », une référence probable au fournisseur d’hébergement basé en France, connu pour héberger des serveurs pour des jeux multi-joueurs, y compris Minecraft. OVH a été la cible des attaques menées en 2016 par des botnets, dont Mirai, qui ont pulvérisé le fournisseur de cloud avec 1,1 térabits par seconde de trafic indésirable, un record à l’époque. Ironiquement, au cours des derniers jours, le binaire Jennifer livré aux routeurs exploités était hébergé sur une adresse IP appartenant à OVH, a déclaré Geenens.

JenX est un exemple de la deuxième génération de botnets IoT. Comme Mirai, il s’attaque au grand nombre de routeurs, de caméras et d’autres périphériques Réseau non sécurisés qui peuplent Internet. Cette offre donne aux botnets des quantités redoutables de bande passante distribuée qui ont la capacité collective de paralyser de larges pans d’Internet. Une faiblesse de Mirai, cependant, était sa dépendance aux mots de passe par défaut pour prendre le contrôle des appareils. Une fois les mots de passe modifiés — par les fabricants ou les propriétaires d’appareils — Mirai devient inefficace.

JenX, Satori, Reaper et d’autres réseaux de zombies IoT de deuxième génération ont contourné cette limitation en exploitant les vulnérabilités du micrologiciel dans les appareils connectés à Internet. Le mécanisme d’infection est potentiellement beaucoup plus efficace car la plupart des appareils IoT exécutent un micrologiciel basé sur Linux qui est généralement obsolète au moment de l’expédition. De nombreux appareils ne peuvent pas être mis à jour du tout. Beaucoup d’autres qui peuvent être mis à jour sont extrêmement difficiles à faire pour la plupart des gens. Cela laisse les botnets IoT de deuxième génération avec des millions d’appareils pour prendre le relais en utilisant des exploits fiables qui sont souvent disponibles en ligne.

Publicité

JenX est différent de la plupart des botnets IoT, car, comme mentionné précédemment, il s’appuie sur des serveurs centralisés pour rechercher et exploiter les appareils vulnérables. Cela signifie que son taux de croissance devrait rester constant. Dans un e-mail, Geenens a écrit:

Le potentiel de ce botnet est comparable à Satori car il utilise exactement les mêmes exploits. Cependant, le taux de croissance de ce bot ne sera pas aussi élevé que Satori car Satori utilise des bots que chacun analyse et exploite par lui-même — donc plus de bots, plus de scanners, plus de victimes, encore plus de bots, encore plus de scanners, etc…. donc un taux de croissance exponentiel pour les botnets Mirai, Satori et Reaper. Le botnet JenX utilise des serveurs pour analyser et exploiter les périphériques, de sorte que la croissance sera moins linéaire. En ajoutant plus de serveurs, ils peuvent le faire croître plus rapidement, mais ne seront jamais aussi efficaces et agressifs que Mirai, Satori et Reaper.

Geenens a publié un rapport complet de ses dernières découvertes ici.

Au moment de la mise en ligne de ce post, Geenens a déclaré à Ars que les équipes d’abus de Leaseweb Pays-Bas et de Leaseweb Allemagne avaient supprimé certains des serveurs d’exploitation JenX hébergés dans leurs centres de données. Geenens a déclaré que le serveur C & C restait opérationnel, tout comme les autres serveurs d’exploitation.

Publicité

 » Cela ne fait que leur envoyer le message qu’ils doivent mieux se cacher de nous « , a écrit le chercheur dans un e-mail, se référant aux opérateurs JenX. « Il n’est pas si facile d’éliminer un groupe de hackers qualifiés — ils apprennent de leurs erreurs maintenant. Ils pourraient transférer leur fonctionnement sur le darknet, ce qui est un autre avantage de l’utilisation de serveurs d’exploitation centralisés. »