Pièges dans l’Internet des objets

Analyse des données récoltées par les pièges de Kaspersky Lab pour l'Internet des objets

Contenu

Au cours de l’année 2016, plusieurs événements ont provoqué une hausse de l’intérêt pour la sécurité des appareils intelligents. Citons, par exemple, les attaques DDoS d’une puissance jamais atteinte auparavant contre la société d’hébergement française OVH et le fournisseur DNS américain Dyn. Ces attaques avaient été organisées à l’aide d’un impressionnant réseau de zombies composé de routeurs, de caméras IP, d’imprimantes et d’autres appareils.

De même, le monde avait découvert à la fin de l’année 2016 un réseau de zombie gigantesque composé de routeurs (près de 5 millions d’appareils). Le géant allemand des télécommunications Deutsche Telekom fut également confronté à un réseau de zombies composé d’appareils infectés par Mirai. Les appareils réseaux n’ont pas été les seuls concernés : des problèmes de sécurité ont également été détectés dans des machines à laver la vaisselle Miele et des cuisinières AGA intelligentes. La cerise sur le gâteau fut le malware BrickerBot qui, à la différence de ses « collègues », ne se contentait pas d’infecter des appareils vulnérables, mais bien de les mettre hors service.

D’après les données de Gartner, il y a actuellement plus de 6 milliards d’appareils intelligents à travers le monde. Les individus malintentionnés ne pouvaient pas ignorer une telle quantité d’appareils potentiellement vulnérables : en mai 2017, la collection de Kaspersky Lab comptait plusieurs milliers d’exemplaires différents d’un malware pour appareils intelligents et près de la moitié d’entre eux avait été ajoutée en 2017.

Hausse du nombre d’exemplaires d’un malware pour appareils intelligents, 2013 à 2017.

Menace pour l’utilisateur final

La présence dans le réseau domestique d’un appareil de l’Internet des objets mal configuré ou vulnérable peut entraîner des conséquences fâcheuses. Un des scénarios les plus répandus est le recrutement de l’appareil dans un réseau de zombies. Il s’agit peut-être de l’exploitation la moins dangereuse pour l’utilisateur ; les autres exploitations possibles sont plus dangereuses. Ainsi, des appareils connectés au réseau domestique peuvent être utilisé en tant que maillons dans l’exécution d’actions illégales. De plus, un individu malintentionné qui a accès à un appareil de l’Internet des objets peut espionner son propriétaire en vue de le faire chanter. Des incidents similaires ont déjà été signalés. Et enfin, l’appareil peut être tout simplement piraté (ce qui n’est pas le pire des scénarios).

Principaux problèmes des appareils « intelligents »

Micrologiciels

Dans le meilleur des cas, les éditeurs diffusent des mises à jour pour leurs appareils intelligents avec un certain retard. Dans le pire des cas, et c’est malheureusement la tendance générale, le micrologiciel n’est pas mis à jour. De nombreux appareils ne prévoient même pas la possibilité d’installer des mises à jour.

Le logiciel des appareils peut contenir des erreurs que des individus malintentionnés peuvent exploiter. Ainsi, le trojan PNScan (Trojan.Linux.PNScan) tentait de pirater des routeurs en exploitant une des vulnérabilités suivantes :

  • CVE-2014-9727 pour attaquer les routeurs Fritz!Box ;
  • une vulnérabilité dans le protocole HNAP (Home Network Administration Protocol) et la vulnérabilité CVE-2013-2678 pour attaquer des routeurs Linksys ;
  • ShellShock (CVE-2014-6271).

Si l’attaque réussissait, il installait la backdoor Tsunami sur l’appareil.

Le Trojan Persirai exploitait une vulnérabilité présente dans plus de 1 000 modèles différents de caméras IP. En cas d’aboutissement de l’attaque, il pouvait exécuter un code aléatoire sur l’appareil avec des autorisations de superutilisateur.

Une autre faille dans la sécurité est liée à la mise en œuvre du protocole TR-069. Ce protocole intervient dans l’administration à distance d’appareils du côté de l’opérateur et il repose sur SOAP qui, à son tour, utilise le format XML lors du transfert des commandes. C’est dans l’analyse syntaxique des commandes que la vulnérabilité a été détectée. Ce mode d’infection intervient également dans certaines versions du trojan Mirai, ainsi que dans Hajime. Les appareils Deutsche Telekom avaient été infectés de la sorte.

Mots de passe, Telnet et SSH

Un autre problème se situe au niveau des mots de passe définis par les fabricants. Ainsi, il peut arriver qu’un même modèle utilise le même mot de passe, voire que le même mot de passe soit appliqué à l’ensemble d’une production. La situation n’est pas récente. En effet, on peut trouver sur Internet des combinaisons de nom d’utilisateur et de mot de passe et les individus malintentionnés exploitent ces informations. Et pour leur simplifier la tâche, une part considérable des appareils intelligents communique via les ports Telnet et/ou SSH.

Par exemple, voici une liste de paires nom d’utilisateur/mot de passe d’une des versions du trojan Gafgyt (Backdoor.Linux.Gafgyt) :

root root
root
telnet telnet
!root
support support
supervisor zyad1234
root antslq
root guest12345
root tini
root letacla
root Support1234

Statistiques

Nous avons mis en place quelques pièges (honeypot) qui imitaient le comportement de divers appareils tournant sous le système d’exploitation Linux afin de pouvoir observer ce qui se passerait avec ceux-ci dans la nature. Les résultats ne se sont pas fait attendre : nous observions les premières tentatives de connexion au port telnet ouvert quelques secondes à peine après la mise en place du piège. Après 24 heures, nous avions enregistré plusieurs dizaines de milliers de connexions depuis des adresses IP uniques.

Nombre de connexions à nos pièges depuis des adresses IP uniques, janvier-avril 2017

Dans la majorité des cas que nous avons observés, c’est le protocole telnet qui était utilisé. Pour le reste, il s’agissait de SSH.

Répartition des connexions aux pièges en fonction des ports, janvier-avril 2017

Voici la liste des paires nom d’utilisateur/mot de passe les plus souvent utilisées par les individus malintentionnés lors des tentatives de connexion au port telnet :

Nom d’utilisateur Mot de passe
root xc3511
root vizxv
admin admin
root admin
root xmhdipc
root 123456
root 888888
root 54321
support support
root default
root root
admin password
root anko
root
root juantech
admin smcadmin
root 1111
root 12345
root pass
admin admin1234

Comme vous le voyez, la liste des combinaisons les plus populaires utilisées dans les attaques contre SSH varie légèrement :

Nom d’utilisateur Mot de passe
admin default
admin admin
support support
admin 1111
admin
user user
Administrator admin
admin root
root root
root admin
ubnt ubnt
admin 12345
test test
admin <Any pass>
admin anypass
administrator
admin 1234
root password
root 123456

Parmi les appareils impliqués dans les attaques observées, plus de 63 % étaient des services DVR ou des caméras IP. Près de 16 % étaient des appareils réseau, des routeurs de presque tous les principaux fabricants. Les répétiteurs Wi-Fi et autres appareils réseau, les téléviseurs, les dispositifs de téléphonie IP, les nœuds de sortie Tor, les imprimantes et les appareils de domotique représentaient 1 %. Près de 20 % des appareils n’ont pas pu être identifiés.

Répartition des sources d’attaque selon le type d’appareil, janvier-avril 2017

La majorité des adresses IP à l’origine des tentatives de connexion à nos pièges répond aux requêtes HTTP. Souvent, derrière une adresse IP, on retrouve plusieurs appareils (application de la technologie NAT). La réponse à la requête HTTP ne provient pas nécessairement de l’appareil qui a attaqué le piège, mais c’est souvent le cas.

La réponse à cette requête entraîne l’affichage d’une page Internet, en général un panneau d’administration de l’appareil, des options de surveillance ou par exemple, une retransmission vidéo de la caméra. Cette page permet de tenter de déterminer le type d’appareil. Vous trouverez ci-après la liste des en-têtes de page Internet les plus souvent rencontrées parmi les appareils attaquants :

Titre HTTP % d’appareils
NETSurveillance WEB 17,40%
DVR Components Download 10,53%
WEB SERVICE 7,51%
main page 2,47%
IVSWeb 2.0 – Welcome 2,21%
ZXHN H208N V2.5 2,04%
Web Client 1,46%
RouterOS router configuration page 1,14%
NETSuveillance WEB 0,98%
Technicolor 0,77%
Administration Console 0,77%
MГіdem – Inicio de sesiГіn 0,67%
NEUTRON 0,58%
Open Webif 0,49%
hd client 0,48%
Login Incorrect 0,44%
iGate GW040 GPON ONT 0,44%
CPPLUS DVR – Web View 0,38%
WebCam 0,36%
GPON Home Gateway 0,34%

Nos pièges ne permettent de voir qu’une partie des appareils. Pour pouvoir déterminer la quantité d’appareils de ce type dans le monde, il faut se tourner vers des services de recherche spécialisés comme Shodan ou ZoomEye. Ils analysent des plages d’adresses IP à la recherche des services pris en charge, les interrogent et indexent les résultats. Nous avons pris les en-têtes les plus populaires parmi les caméras IP, les enregistreurs numériques et les routeurs et nous les avons recherchées dans ZoomEye. Les résultats sont impressionnants : nous avons trouvé ainsi des millions d’appareils qui pourraient être infectés (ou qui le sont probablement déjà) par un malware.

Nombre d’adresses IP d’appareils potentiellement vulnérables (caméras IP et enregistreurs numériques).

Titre HTTP Appareils
WEB SERVICE 2 785 956
NETSurveillance WEB 1 621 648
dvrdvs 1 569 801
DVR Components Download 1 210 111
NetDvrV3 239 217
IVSWeb 55 382
Total 7 482 115

Nombre d’adresses IP d’appareils potentiellement vulnérables (routeurs).

Titre HTTP Appareils
Eltex NTP 2 653
RouterOS router 2 124 857
GPON Home Gateway 1 574 074
TL-WR841N 149 491
ZXHN H208N 79 045
TD-W8968 29 310
iGate GW040 GPON ONT 29 174
Total 3 988 604

Il est également intéressant de constater que parmi les appareils réseau à l’origine d’attaques contre nos pièges, on retrouve non seulement des appareils domestiques, mais également des appareils de catégorie industrielle.

Mais plus effrayant encore, parmi les adresses d’où proviennent les attaques, on retrouve des adresses associées à des systèmes de surveillance et/ou d’administration d’appareils liés aux industries et à la sécurité :

  • Caisses enregistreuses dans des magasins, des restaurants et des stations-services
  • Systèmes de télévision numérique
  • Système de protection et de contrôle de l’accès
  • Dispositif de surveillance écologique
  • Surveillance d’une station sismique à Bangkok
  • Microcontrôleurs programmables utilisés dans l’industrie
  • Système d’administration de l’alimentation électrique

Nous ne pouvons pas confirmer l’infection des appareils cités ci-dessus. Toutefois, nous avons détecté des attaques contre nos pièges en provenance de ces adresses IP, ce qui signifie l’infection d’un ou de plusieurs appareils dans le réseau où ils se trouvent.

Répartition géographique des appareils infectés.

Au niveau de la répartition géographique des appareils dont les adresses IP ont été à l’origine d’attaques contre nos pièges, la situation est la suivante :

Répartition des adresses IP des appareils attaquants par pays, janvier-avril 2017

Comme nous l’avons déjà dit, la majorité des appareils infectés est composée de caméras IP et d’enregistreurs vidéo numériques, très répandus en Chine, au Vietnam, ainsi qu’en Russie, au Brésil, en Turquie et dans d’autres pays.

Répartition géographique des adresses IP des serveurs d’où le malware est téléchargé sur l’appareil

Jusqu’à présent en 2017, nous avons enregistré plus de 2 millions de tentatives de piratage et plus de 11 000 adresses IP uniques d’où un malware pour l’Internet des objets a été téléchargé.

La répartition de ces adresses IP par pays est la suivante (TOP 10) :

Pays Adresses IP uniques
Viet Nam 2136
Taiwan, province chinoise 1356
Brésil 1124
Turquie 696
Corée, République de 620
Inde 504
États-Unis 429
Fédération de Russie 373
Chine 361
Roumanie 283

Si nous étudions la répartition en fonction non pas des adresses IP mais du nombre de téléchargements, la situation est différente :

Pays Téléchargements
Thaïlande 580267
Hong Kong 367524
Corée, République de 339648
Pays-Bas 271654
États-Unis 168224
Seychelles 148322
France 68648
Honduras 36988
Italie 20272
Royaume-Uni 16279

Nous supposons que cette différence s’explique par la présence dans ces pays de serveurs de type « bulletproof » qui garantissent une diffusion plus rapide et plus fiable du malware que les appareils infectés.

Répartition de l’activité des attaquants selon les jours de la semaine

Dans le cadre de l’analyse de l’activité des réseaux de zombies composés d’appareils de l’Internet des objets, nous avons identifié certains paramètres particuliers de fonctionnement. Ainsi, nous avons remarqué que les pics d’activité (analyse, déchiffrement des mots de passe, tentatives de connexion) se manifestent certains jours de la semaine.

Répartition de l’activité des attaquants selon les jours de la semaine, avril 2017

Il semblerait que le lundi soit également un jour chargé chez les individus malintentionnés. Nous n’avons trouvé aucune explication particulière pour cette dynamique.

Conclusion

La hausse du nombre de malwares pour l’Internet des objets et du nombre d’incidents associés à ceux-ci confirme le sérieux de la problématique de la sécurité des appareils intelligents. L’année 2016 aura démontré que la menace n’est plus potentielle, mais bel et bien réelle. La rude concurrence sur le marché des attaques DDoS pousse les individus malintentionnés à chercher de nouvelles ressources qui pourraient les aider à organiser des attaques toujours plus puissantes. Le réseau de zombies Mirai a démontré que ces ressources pouvaient prendre la forme d’appareils intelligents dont le nombre atteint déjà plusieurs milliards et les analystes de différentes sociétés prévoient d’ores et déjà que ce nombre sera compris entre 20 et 50 milliards d’appareils d’ici 2020.

A titre de conclusion, nous aimerions formuler quelques recommandations pour vous aider à éviter l’infection de vos appareils :

  1. Sauf nécessité absolue pour le fonctionnement de l’appareil, évitez d’offrir un accès à celui depuis le réseau extérieur.
  2. Désactivez tous les services réseau dont vous n’avez pas besoin pour utiliser l’appareil.
  3. Si l’appareil utilise un mot de passe standard ou universel qui ne peut être modifié ou si le compte utilisateur prédéfini ne peut être désactivé, désactivez les services réseaux dans lesquels ce mot de passe ou ce compte utilisateur est utilisé ou interdisez l’accès réseau à celui-ci depuis l’extérieur.
  4. Avant d’utiliser l’appareil pour la première fois, remplacez le mot de passe par défaut par un nouveau mot de passe capable de résister à une attaque par force brute directe.
  5. Actualisez régulièrement le micrologiciel jusqu’à la version la plus récente (si ces mises à jour existent).

Ces quelques conseils vous protègeront contre la majorité des attaques provoquées par les malwares de l’Internet des objets actuellement en circulation.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *