Un réseau de zombies composé de téléviseurs et de caméras Web détournés connectés à Internet a une nouvelle cible, ont découvert des chercheurs en sécurité.

Trois institutions du secteur financier sont devenues les dernières victimes des attaques par déni de service distribué (DDoS) ces derniers mois. Une nouvelle étude du groupe Insikt de Recorded Future, publiée jeudi, met en évidence ce qui pourrait bien être le botnet IoTroop, utilisé pour tabasser les entreprises financières avec du trafic Internet pour surcharger les serveurs et perturber les services.

Les chercheurs disent que c'est la plus grande attaque depuis la cyberattaque de Mirai en octobre 2016 qui a détruit de larges pans de l'Internet occidental.

Botnets apparaissent tout le temps et peuvent rapidement se développer et piéger des milliers de dispositifs. Beaucoup sont restés endormis pendant des mois, s'accélérant tranquillement mais prêts à causer des perturbations à tout moment. Bien que plusieurs botnets soient apparus au cours de la dernière année, aucun n'a entraîné d'attaques importantes.

Mais cela a changé en janvier, lorsque trois attaques DDoS ont été lancées à quelques heures d'intervalle.

La première était une attaque d'amplification DNS qui a culminé à un volume de trafic de 30 Gbps par seconde. Cela peut sembler dérisoire par rapport à une attaque récente de 1,7 Tbps - une cinquantaine de fois plus importante - mais qui peut tout de même causer des dommages considérables aux entreprises qui n'investissent pas dans les protections contre les attaques DDoS.

On pense que les botnets sont construits à partir du code de Mirai, qui a été ouvert et publiquement publié quelques semaines avant les attaques d'octobre 2016. Mirai était assez simple par rapport aux autres réseaux de zombies, qui attaquaient agressivement les appareils en utilisant une liste de noms d'utilisateur et de mots de passe par défaut prédéterminés.

Mais la publication du code a ouvert la porte à d'autres botnets pour prendre vie.

On pense que le malware le plus agressif et le plus avancé de Reaper serait derrière le botnet IoTroop ciblant les institutions financières, a déclaré Priscilla Moriuchi, co-auteur du rapport avec Sanil Chohan.

"Ce botnet est différent de Mirai dans la composition et le vecteur d'exploitation, compromettant probablement de nouveaux robots basés sur des vulnérabilités et non via des identifiants d'administrateur inchangés", a déclaré Moriuchi, dans un courriel.

Contrairement à Mirai, Reaper est devenu un gros botnet capable d'exécuter des scripts d'attaque complexes pour exploiter les failles du code des périphériques vulnérables, ce qui rend difficile la détection des infections. Le botnet exploite plus d'une douzaine de vulnérabilités connues dans neuf produits connectés à Internet - y compris certaines des failles qui étaient à l'origine utilisées dans Mirai.

Netlab a déclaré que le botnet avait environ 28 000 appareils infectés connectés à l'un des contrôleurs du botnet dès sa découverte en octobre - et grossissait en taille.

Ce nouveau botnet ciblant les entreprises du secteur financier compte plus de 13 000 appareils - chacun avec une adresse IP unique, selon le rapport.

La plupart des périphériques compromis sont des routeurs fabriqués par MikroTik, une société de réseau basée en Lettonie. On pense que les pirates exploitent la fonction de test de bande passante du routeur du fabricant. La majorité des dispositifs infectés ont été trouvés en Russie, au Brésil et en Ukraine - un point que les chercheurs ont déclaré être "probablement juste un reflet de la popularité" des dispositifs infectés.

M. Moriuchi a indiqué qu'au moins une des entreprises touchées par l'attaque avait temporairement interrompu ses services à la clientèle, mais que l'étendue des dommages financiers ou de réseau n'était pas connue.

Les chercheurs ne nomment pas les entreprises ciblées par le botnet dans leur rapport, mais déclarent être des entreprises mondiales du classement Fortune 500. On ne sait pas non plus qui est derrière les attaques, ont-ils dit.

Mais le botnet n'est probablement pas fait. Bien que l'activité des réseaux de zombies ait été en grande partie calme depuis janvier, les chercheurs ont déclaré que le botnet allait grossir et qu'il pourrait être en mesure de lancer de plus grandes attaques DDoS contre le secteur financier à l'avenir.

"Il deviendra de plus en plus important de surveiller les contrôleurs potentiels et d'identifier de nouveaux dispositifs IoT qui seront ajoutés au botnet en prévision d'autres attaques", ont déclaré les chercheurs.

Traduit par Dr.Mo7oG

Source : https://www.zdnet.com/article/new-mirai-style-botnet-targets-the-financial-sector/