Les routeurs non corrigés hébergent un énorme nouveau botnet

Le prochain botnet qui écrase Internet commence lentement à se réveiller. Depuis fin décembre, un botnet connu sous le nom de Satori infecte de nouveaux terminaux et montre généralement les signes d'une catastrophe imminente. Comment devez-vous vous préparer à la prochaine attaque DDoS à grande échelle ?

Un botnet en sommeil se réveille

La dernière fois que nous avons vu le botnet Satori, c'était en 2016, à l'époque où il s'appelait encore Mirai. Nous savons que deux ans, c'est long en matière de sécurité de l'information, mais l'incident du botnet Mirai est difficile à oublier. En utilisant des millions d'appareils IoT infectés, tels que des routeurs, des caméras de sécurité et des thermostats intelligents, le botnet Mirai a réussi à écraser la dorsale fibre pour la quasi-totalité de la côte est des États-Unis. L'attaque a coupé Internet pendant des heures.

Satori n'est pas Mirai, mais c'est un proche cousin. Contrairement à Mirai, qui devait télécharger un composant séparé avant de devenir actif, Satori se propage comme un ver. Les hôtes infectés analysent les ports ouverts sur les routeurs et autres appareils IoT, à la recherche de vulnérabilités spécifiques. À ce jour, trois types d'appareils vulnérables ont été identifiés :

• Passerelle Huawei Home les routeurs peuvent contenir un bogue d'exécution de code à distance exploitable. On sait peu de choses sur la vulnérabilité et aucun correctif n'est actuellement disponible.
• Realtek les routeurs contiennent une vulnérabilité similaire, mais elle a été corrigée dans de nombreux systèmes, ce qui réduit le taux de réussite de cet exploit.
• Réseaux DASAN, un fabricant de routeurs peu connu en Corée du Sud, exploite environ 40 000 routeurs. Tous ces routeurs semblent être vulnérables à Satori, mais le fabricant n'a pas répondu aux chercheurs en sécurité et ne semble pas disposé à publier un correctif.

Inutile de dire que toute personne utilisant actuellement ces appareils doit prendre des mesures pour les isoler, les corriger ou les remplacer immédiatement si nécessaire.

En plus d'infecter les routeurs, l'opérateur du réseau Satori a trouvé une ligne de touche rentable. Le logiciel malveillant Satori a récemment ciblé et infecté un logiciel de minage de crypto-monnaie. En exploitant les vulnérabilités d'un logiciel connu sous le nom de Claymore, le malware a pu écraser les adresses de portefeuille de crypto-monnaie avec celles appartenant à l'opérateur du malware. Par conséquent, toute la monnaie extraite par la machine associée sera détournée vers l'attaquant. Le botnet Satori a déjà collecté plus de 2 000 USD de crypto-monnaie connue sous le nom d'Ethereum en utilisant cette méthode.

Un botnet polyvalent ?

L'utilisation de ce botnet particulier pour exploiter la crypto-monnaie suggère que son opérateur a plus en tête que de simples attaques DDoS. Alors que les opérateurs de botnet précédents étaient heureux d'utiliser leurs réseaux à des fins d'extorsion, d'autres attaques à la fin de 2017 et au début de 2018 suggèrent que ce modèle commercial pourrait commencer à changer.

Les pirates ont inauguré un certain nombre de stratagèmes pour voler ou extraire de manière parasite diverses crypto-monnaies. Plusieurs groupes ont commencé à utiliser des logiciels publicitaires malveillants pour infecter des sites Web et détourner les processeurs des visiteurs pour exploiter Bitcoin. Un autre groupe a réussi à infecter le cloud public de Tesla Motors en détournant une console Kubernetes non défendue.

Alors que la puissance de traitement individuelle d'un seul routeur est insignifiante, un réseau de dizaines de milliers de robots pourrait être en mesure de générer une grande quantité de crypto-monnaie de manière globale. Bien que ces attaques puissent être relativement inoffensives - après tout, elles n'impliquent pas le vol ou le cryptage de données - le potentiel de nuisance de masse est indéniable.

Comment garder un œil sur le cryptojacking et les attaques DDoS

Si vous pensez qu'un attaquant a détourné l'un de vos appareils IoT, ou si vous pensez que quelqu'un vise une attaque DDoS contre vous, vous voudrez le savoir tout de suite. Ces types d'attaques sophistiquées ne cessent de croître, et il n'est plus acceptable d'avoir des angles morts dans votre infrastructure réseau et applicative. AppNeta peut vous aider en fournissant une fenêtre sur votre réseau. Vous serez en mesure de voir où se produisent les ralentissements du réseau et des applications et de tirer rapidement des conclusions sur ce qui se passe.

Les attaques DDoS et le cryptojacking entraîneront tous deux des ralentissements notables du réseau et des applications, ce qui aura un effet en cascade en termes de productivité et de réactivité des clients. Si vous souhaitez atténuer ces problèmes avant qu'ils ne surviennent, contactez AppNeta pour une démo gratuite dès aujourd'hui.