À LOUER : un Botnet d’IdO pour faire tomber le Web

  Posted On   By Laboratoires Bitdefender   Actualités de la cybersécurité

 

Des centaines de milliers, voire des millions, d’appareils semblent avoir été corrompus par Mirai et enrôlés dans ce botnet. Une fois activé, celui-ci a déclenché une attaque par déni de service (DDoS) sur la société Dyn (qui propose des offres de gestion de noms de domaines), ce qui a eu un impact considérable sur certains des sites Web les plus populaires du monde, les rendant inaccessibles à de nombreux d’internautes.

 

La liste des sites Web touchés inclut Netflix, Spotify, Twitter, GitHub, ou encore donc le site du gouvernement du Royaume Uni.

Dans sa déclaration, l’entreprise Dyn confirme avoir subi unes « attaque sophistiquée provenant de multiples vecteurs et d’emplacements multiples », et des dizaines de millions d’adresses IP impliquées dans l’attaque étaient des appareils infectés par le botnet Mirai.

Le site internet Forbes, rapporte  pour sa part que, les cybercriminels vendaient sur le Darknet début octobre, l’équivalent d’une semaine d’accès à 100 000 appareils IdO piratés, pour la modique somme de 7 500 dollars (environ 6 890 EUR).

 

« Je vends des utilisations sur l’un des plus grands botnet au monde.

Je ne fournirai des détails qu’aux acheteurs SÉRIEUX.

La puissance de l’attaque avoisine les 1 TeraByte par seconde [Niveau 4] et les 7 millions requêtes/seconde [Niveau 7].

Utilisateur limité à 50k bots – 4 600 USD (4 200EUR)

Utilisateur limité à 100k bots – 7 500 USD (6 891 EUR)

Prix par semaine d’utilisation »

 

 

Le vendeur prétendait que son botnet se basait sur le code source de Mirai, qui a été diffusé publiquement sur Internet quelques jours auparavant.

Difficile de ne pas imaginer que de nombreux cybercriminels ne voient pas là une bonne affaire compte tenu du profit potentiellement réalisable auprès de leurs futures victimes.

Ca vaut la peine de garder à l’esprit que nous avons tous un rôle à jouer pour protéger l’Internet d’attaques de ce type. Les botnets tels que Mirai tirent parti d’appareils IdO mal sécurisés, comme ceux produits par Sierra Wireless, qui peuvent êtres exploités à des fins malveillantes compte tenu de leurs vulnérabilités internes ou du fait qu’ils soient connectés à Internet avec le mot de passe par défaut.

Lorsque c’est possible, modifiez les mots de passe par défaut des accès distant à vos appareils IdO et installez les correctifs de sécurités disponibles.

En parallèle, les sites Web craignant que leur sécurité soit compromise à cause d’attaques visant leurs fournisseurs de DNS, pourraient être bien inspirés en  recourant aux services d’un second fournisseur pour limiter les risques au cas où l’un des deux (comme Dyn) venait à tomber.

 

Les études menées par les Bitdefender Labs révèlent que presque 2% des objets connectés ont un ot de passe de faible ou n’en ont pas du tout sur le protocole Telnet. Ce pourcentage peu sembler relativement faible mais devient nettement plus alarmant une fois mis dans le contexte : selon l’analyse de Gartner, 6,4 milliards d’appareils IdO sont utilisés dans le monde, ce qui fait que ce pourcentage représente approximativement 128 millions de bots potentiels, pouvant mettre hors ligne n’importe quel service sur Internet.

Les menaces qui planent sur l’IdO sont beaucoup plus diverses que celles qui ont rendu possible le botnet Mirai. Les informations collectées par les Bitdefender Labs sur les objets connectés révèlent que les imprimantes connectées, les stockages NAS et les routeurs font partie des appareils les plus vulnérables. 65,9% de ces vulnérabilités sur des appareils connectés sont identifiées et peuvent être corrigées, or elles sont toujours présentes car soit aucune correction n’a été fournie par le fabricant, soit elle n’a pas été installée par l’utilisateur.

 

Les attaques DDoS deviennent monnaie courante

L’attaque DDoS contre Dyn est la troisième d’une série de tentatives de destruction extrêmement dévastatrices visant à faire tomber des infrastructures Web en moins d’un mois. Fin septembre, le site Web du journaliste Brian Krebs a été la cible d’une attaque DDoS de 620 Gbit/s, ce qui en faisait la plus grande du genre. Quelques jours plus tard, OVH, l’hébergeur français de sites Web, faisait face à une attaque semblable culminant à 1 Tbit/s. L’attaque de Dyn, quant à elle, a établi un nouveau « record » en atteignant les 1,2 Tbit/s.