Un nouveau malware transforme des périphériques de l’Internet des objets en presse-papier

Un malware détecté par les serveurs piégés de la société de sécurité de l’information Radware et baptisé BrickerBot vise des périphériques de l’Internet des objets qui tournent sous Linux avec BusyBox. D’après les chercheurs, les premières attaques ont été organisées le 20 mars.

On sait que ce malware existe en deux versions (BrickerBot.1 et BrickerBot.2), qu’il infecte la mémoire des périphériques et compromet le fonctionnement du noyau du système.

Au début de l’attaque, le fonctionnement des deux versions est identique : elles tentent de réaliser une attaque par force brute sur les ports Telnet ouverts ; à l’instar de Mirai, Hajime et d’autres types de malwares de l’Internet des objets, BrickerBot utilise une liste d’identifiants par défaut. Si l’attaque réussit, BrickerBot exécute une série de commandes Linux et ensuite les différentes versions du malware suivent leur voie respective, exécutent des commandes différentes, mais poursuivent le même objectif.

BrickerBot attribue des bits aléatoires dans la mémoire du périphérique, ce qui rend le disque flash inutilisable. L’horodatage TCP est désactivé, ce qui maintient la connexion Internet mais réduit ses capacités. Ensuite, le malware définit la valeur maximale de flux du noyau sur 1, ce qui arrête toutes les opérations exécutées sur le noyau.

Après le redémarrage du périphérique provoqué par le malware, le périphérique de l’Internet des objets arrête de fonctionner et devient totalement inutile. Cet état se manifeste littéralement quelques minutes seulement après l’infection. Il s’agit d’attaques de type PDoS (Permanent Denial of Service) ou déni de service permanent. Les données télémétriques des pièges de Radware indiquent que 1 895 tentatives d’attaques PDoS ont été enregistrées en quatre jours.

Chacune des deux versions de BrickerBot possède sa propre infrastructure de diffusion : BrickerBot.1 se propage via les adresses IP des périphériques réseau Ubiquiti sur une ancienne version de Dropbear SSH server. BrickerBot.2, la version plus poussée de BrickerBot, est capable de réaliser un plus grand nombre de commandes. Dans la mesure où les adresses IP utilisées lors des attaques sont dissimulées dans le réseau Tor, il est pratiquement impossible de déterminer l’origine des attaques. Ceci étant dit, le nombre d’attaques impliquant la version plus puissante du malware est bien plus modeste.

D’après les experts, BrickerBot est une nouveauté dans le domaine des malwares pour l’Internet des objets. En général, ces malwares servent à créer de gigantesques réseaux de zombies qui interviennent à leur tour dans l’organisation d’attaques DDoS comme celles qui ont touché une multitude d’opérateurs et de fournisseurs à travers le monde. Le comportement destructeur de BrickerBot est inhabituel : on ne voit pas l’utilité du malware pour les cybercriminels car les périphériques attaqués ne leur sont plus d’aucune utilité.

Il pourrait s’agir d’une campagne menée par des hacktivistes afin d’attirer l’attention sur la faiblesse de la sécurité des périphériques de l’Internet des objets. Toujours est-il que l’œuvre de ce « chevalier qui lutte contre les injustices » nuit aux périphériques. Il existe néanmoins des cas qui adopte une démarche inverse. Ainsi, en octobre 2015, des chercheurs signalaient un cas d’hacktivisme positif : le malware de l’Internet des objets Linux.Wifatch recherchait les périphériques qui n’étaient pas protéger et corrigeait les erreurs de configuration. Plus tard, le code source du « malware » fut publié sur GibHub.

Les motifs des créateurs de BrickerBot ne sont pas clairs et ces actions sont dangereuses : comme l’ont souligné certains experts, mettre hors service de la sorte les caméras de vidéosurveillance d’une ambassade pourrait être considéré de jure comme un acte d’agression.

Les experts exhortent les créateurs de BrickerBot et les invitent à canaliser leur énergie vers des objectifs constructifs tout en signalant que l’appel a été entendu. Des représentants de Radware sont prêts à coopérer avec les pirates inconnus afin d’améliorer la sécurité des périphériques de l’Internet des objets.

Source : Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *