BASHLITE a infecté 1 million d’appareils de l’Internet des objets (IdO)

D’après les chercheurs, les responsables des bots ont compromis plus d’un million de caméras vidéo et d’enregistreurs numériques (DVR) connectés à Internet et ils les utiliseraient pour organiser des attaques DDoS. D’après les données de Level 3 Communications, ces appareils seraient infectés par le malware connu sous le nom de Lizkebab, BASHLITE, Torlus ou Gafgyt et auraient été regroupés au sein d’un réseau de zombies pour organiser des attaques.

Dale Drew, responsable du service d’enquête sur la sécurité informatique chez Level 3, a déclaré : « Les résultats de l’enquête nous ont surpris. Vous avions choisi des réseaux de zombies assez connus et ordinaires et nous avions essayé de les étudier de la manière appropriée. Et nous sommes tombés sur de grosses surprises. Ainsi, nous avons découvert que le malware BASHLITE est associé à des réseaux de zombies qui sont beaucoup mieux organisés et structurés que nous le pensions. »

D’après Level 3, BASHLITE dispose d’un nombre variable de serveurs de commande et de réseaux de zombies dont la taille change chaque semaine. Au mois de juillet, les serveurs de commande associés à cette petite famille de malware communiquaient uniquement avec 74 bots, mais au cours des derniers jours, ce chiffre a atteint 120 000. Comme l’a remarqué Dale Drew, l’analyse plus poussée de BASHLITE a mis en évidence un grand réseau de zombies administré à l’aide de près d’une centaine de serveurs de commandes. Certains d’entre eux ont enregistré plus de 100 attaques DDoS par 24 heures, même si la durée de 75 % des attaques ne dépassait pas plus de 5 minutes.

« Nous avons compris que tout le monde faisait fausse route en pensant que certains réseaux de zombies de taille modeste n’étaient pas en mesure de provoquer des dommages sensibles. Un examen superficiel de ces réseaux de zombies ne met en évidence que certaines parties de leurs actions car chaque réseau de zombies est fortement fragmenté » explique Dale Drew.

Dans leur rapport, les chercheurs de chez Level 3 ont indiqué que BASHLITE est propagé par des groupes de pirates comme Lizard Squad et Poodle Corp qui attaquent de plus en plus souvent des objets de l’IdO afin de construire des réseaux de zombies, organiser des attaques DDoS et vendre leur service d’organisation d’attaques de ce genre. Comme l’écrivent les auteurs du rapport, « une fois que l’outil de l’attaquant a atteint l’appareil, il ne perd pas son temps à identifier l’architecture. Il passe directement à l’exécution des commandes busybox wget et wget afin d’extraire la charge utile du bot de DDoS. Ensuite, il tente de lancer plusieurs versions du malware axées sur différentes architectures jusqu’à ce qu’une des versions s’exécute.

D’après les statistiques de Level 3, 96 % des appareils infectés détectés appartiennent à la catégorie IdO (il s’agit de caméra vidéo et de DVR dans 95 % des cas). Il y a également près de 4 % de routeurs domestiques et moins d’1 % de serveurs Linux compromis. Les chercheurs constatent qu’il s’agit d’un mouvement révélateur et radical dans la composition des réseaux de zombies par rapport aux réseaux DDoS composés de serveurs et de routeurs observés jusqu’à présent.

La majorité des bots qui intervient dans les attaques se situe à Taïwan, au Brésil et en Colombie. D’après Level 3, les attaquants ciblent principalement les enregistreurs numériques (DVR) utilisés dans les systèmes de vidéosurveillance car ils sont considérés comme étant particulièrement vulnérables. Sur bon nombre de ces enregistreurs, telnet et l’interface Internet sont activés par défaut. Ils utilisent également des identifiants par défaut. Les auteurs du rapport ajoutent que « la majorité de ces appareils fonctionnent avec une version ou l’autre intégrée de Linux. Ils possèdent également une bande passante large, indispensable au transfert de vidéos et en tant que bots DDoS, ils constituent une catégorie assez puissante.

Les experts de Flashpoint, qui ont aidé Level 3 dans l’enquête sur l’activité de BASHLITE, ont indiqué qu’au cours des derniers mois, 200 centres de commandes associés à cette famille de malware avaient été observés. A la différence des malwares plus complexes, BASHLITE utilise des adresses IP de centre de commande codées en dur et parfois, il n’utilise qu’une adresse IP unique, ce qui simplifie la tâche des chercheurs en sécurité de l’information. « Les responsables des bots ne semblent pas considérer cela comme un problème car la mise en place d’un nouveau centre de commande est très simple, à l’instar de la nouvelle infection des bots » écrivent les chercheurs.

Dans la majorité des cas, les attaques DDoS observées par Level 3 qui impliquent des réseaux de zombies BASHLITE sont organisées comme de simples attaques UDP ou TCP flood. Toutefois, les attaques au niveau du protocole TCP sont devenues plus fréquentes au cours du dernier mois. « Bien que ce malware prenne en charge la substitution d’adresses de la source, cette technique est rarement utilisée. Certaines versions prennent également en charge les attaques HTTP avec une connexion complète sur les serveurs de la victime » peut-on lire dans le rapport.

Il est étonnant de voir que la majorité des appareils infectés provient de quelques fabricants uniquement. Il semblerait que ceux-ci n’adoptent pas une attitude professionnelle au niveau de la mise en œuvre des normes de sécurité de l’information dans leurs produits IdO ou qu’ils ignorent carrément ces normes. Level 3 a cité un de ses fabricants dans son rapport : Dahua Technology. Ce dernier a été mis au courant du problème et prépare un correctif.

Signalons que ce n’est pas la première fois que des attaques DDoS avec réseaux de zombies composés de caméras de vidéosurveillance sont organisées. Ainsi, au début de l’été Sucuri avait annoncé la découverte d’un petit réseau de zombies actif composés de 25 000 appareils CCTV et un peu plus tard, Arbor Networks publiait de nouvelles données sur le réseau de zombies LizardStresser qui comptait près de 1 300 webcams capables d’organiser des attaques dont la puissance pouvait atteindre 400 Gbits/s.

Fonte: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *