Archives par mot-clé : Mirai

Selon le dernier Data Breach Investigations Report (DBIR) publié par Verizon, en 2022 les attaques DDoS restent l’un des principaux types d’incidents identifiés avec les attaques par botnets. Mirai, Emotet, LemonDuck sont autant de noms qui, hors contexte, pourraient faire sourire, mais qui, dans le monde de la cybersécurité, donnent du fil à retordre aux équipes informatiques des organisations du monde entier, et ce avec des méthodes d’attaques somme toute très simples.

Les cybercriminels se sont non seulement banalisés – aujourd’hui n’importe qui peut s’improviser hacker, grâce aux outils disponibles sur le darkweb – mais ils ont également amélioré leurs méthodes d’attaque, pour la plupart établies de longue date, en y apportant de nouvelles modifications et stratégies. C’est le cas des botnets, qui existent depuis les années 1980.

En effet, un rapide historique de ces réseaux de bots informatiques – des programmes connectés à internet qui communiquent avec d’autres programmes similaires pour l’exécution de certaines tâches –, met en évidence la manière dont, en l’espace de 20 ans, les pirates ont modifié leur façon de les utiliser.

Les premiers du genre ont été déployés sur des ordinateurs de type serveur. Par la suite, les attaquants ont commencé à créer des botnets capables de mener des attaques par déni de service distribué (DDoS) en compromettant des ordinateurs personnels (PC) ; ils continuent d’ailleurs aujourd’hui à les utiliser afin de créer des botnets et lancer des attaques DDoS.

« À l’heure actuelle, les botnets de l’internet des objets (IoT) sont monnaie courante, les cybercriminels lançant généralement des attaques DDoS par l’intermédiaire de dispositifs IoT, via une infrastructure commune de commande et de contrôle (C2). Ces botnets ont vu leur popularité monter en flèche après la fuite du code source du botnet IoT Mirai en 2016. » confirme Philippe Alcoy, de chez NETSCOUT.

La stratégie malveillante évolue

Cependant, les acteurs malveillants ont à nouveau modifié leur stratégie en augmentant la taille des botnets IoT et en intégrant des serveurs puissants dans des botnets plus importants. Les serveurs sont utilisés pour lancer des attaques DDoS ciblées contre des actifs de grande valeur. Toutefois, il est intéressant de remarquer que les attaquants font évoluer leur stratégie pour créer de puissants botnets Mirai.

De nouveaux botnets Mirai de type serveur sont désormais créés et utilisés pour lancer des attaques DDoS directes à fort impact. Ainsi, malgré un coût beaucoup plus élevé pour une organisation malveillante, les cybercriminels privilégieront une attaque DDoS directe par botnet, pour s’assurer de dommages de très grande envergure, comme l’ont démontrés deux des attaques de plus de 2,5 Tbps détectées au deuxième semestre 2021.

Si ce type d’attaque est coûteux, il est accessible à toute personne ayant les moyens de le provoquer, ce qui en fait un outil redoutable. Explication en vidéo.

Si différentes tendances fluctuent à travers le monde, les attaques DDoS par botnet ne doivent surtout pas être minimisées. Elles constituent bel et bien une menace de taille pour les entités gouvernementales, les établissements de santé et les entreprises, et ce sans distinction. De plus, si on remarque une sophistication des techniques d’attaque, il est intéressant de noter que les profils des acteurs malveillants sont variés et parfois loin de la professionnalisation ; d’où la nécessité d’anticiper tout type de menace afin de mieux s’en prémunir.

BYOD, Cyber-attaque, Cybersécurité, DDoS, Entreprise, IOT, Piratage, Propriété Industrielle, Securite informatique

Prison pour un vendeur de DDoS

15 janvier 2019 Damien Bancal

Un tribunal de Londres vient de condamner un pirate informatique Israélo-Britannique. Il vendait des attaques de DDoS.

Daniel Kaye, 30 ans, qui se faisait appeler dans l’underground « BestBuy » et « Popopret » vient d’écoper de deux ans et huit mois de prison ferme pour avoir lancé des attaques de type DDoS. Des Dénis Distribués de Service qui ont visé, entre autres, Lonestar Cell MTN, une société de télécommunication basée au Libéria.

Des DDoS qui ont perturbé l’Internet du pays et aurait causé des dizaines de millions de dollars de dommages.

Pour réussir ses malveillance, Popopret a exploité le botnet malveillant Mirai. Parmi les autres cibles de ce pirate : Lloyds Bank, Bank of Scotland et la banque Barclays.

Mirai comme arme numérique

À partir de septembre 2016, Kaye a utilisé son propre réseau de robots Mirai, constitué d’un réseau de caméras de sécurité Dahua infectées, pour mener des attaques sur Lonestar.

En novembre 2016, le trafic généré par le botnet de Kaye était si important que l’accès Internet à travers le Libéria a été totalement désactivé.

Un mandat d’arrêt européen a été émis contre Kaye et à son retour au Royaume-Uni en février 2017, il a été arrêté par des agents de la NCA. Il sera dans la foulée extradé à la demande de l’Allemagne. Il sera condamné à de la prison avec sursis pour des attaques similaires à l’encontre de Deutsche Telekom (novembre 2016).

Embauché par un concurrent !

Selon la National Crime Agency (NCA), les cyber-limiers du Royaume-Uni, Kaye a été embauché par un concurrent de Lonestar, Cellcom. Contre de l’argent, Daniel Kaye a lancé de multiples blocages.

C’est à la suite de sa condamnation allemande que Popopret a été extradé au Royaume-Uni. Kaye aurait commercialisé son réseau à d’autres pirates. Le pirate était aussi un utilisateur de stresser pour commercialiser ses actions malveillantes.

Base de données, Communiqué de presse, Cyber-attaque, Cybersécurité, DDoS, Entreprise, Fuite de données, Piratage, Securite informatique

Les pays et villes qui abritent des repères de bots

15 octobre 2017 Damien Bancal

La France repère de bots ? L’hexagone est le 8e pays au monde où le volume d’attaques contre les objets connectés est le plus élevé. 6,7 millions de bots en plus et à travers le monde sur l’année 2016 ont été recensés.

Les repères de bots dans le monde ! Un an après la première attaque majeure du botnet Mirai, qui a paralysé et mis à l’arrêt une grande partie de l’internet, Norton by Symantec révèle les villes et pays (lien) qui ont involontairement accueilli un grand nombre d’infections de bots et fait le point sur leur évolution afin de mieux comprendre ce phénomène. 6,7 millions de bots supplémentaires ont rejoint le nid en 2016 au niveau mondial ; l’Europe représente plus d’un cinquième (18,7 %) de la population totale bots dans le monde.

Selon l’étude, la France est désormais le 16e pays le plus important en volume de bots en Europe et se classe au 8e rang mondial des pays ayant connu le plus d’attaques contre les objets connectés ; La ville de Paris est la première ville de France en volume de bots avec 28,18 % du nombre total de bots en France, suivie de Roubaix (8,31 %), Aubervilliers (3,40 %) et Marseille (3,33 %) ; Le Vatican, le plus petit pays au monde, possède la plus haute densité de bots en comparant le nombre d’infections par utilisateur d’internet. 5 personnes par bot.

Pour Roubaix, dans le Nord de la France, cela s’explique rapidement. OVH s’y trouve. Il est le plus important hébergeur d’Europe. Et ils sont aussi d’une efficacité loin d’être négligeable dés qu’il s’agit d’alerter et de prendre des mesures face aux sites infiltrés et exploités dans des attaques. Data Security Breach peut en témoigner avec une alerte, il y a 15 jours et une équipe OVH efficace pour informer, contrôler et bloquer si besoin. Pour le Vatican, un chiffre à prendre avec des pincettes, et pour cause, la population est de 451 personnes !

Contrôlées à distance par des cybercriminels et faisant partie d’un réseau global de bots, ces « machines zombies » sont utilisées pour réaliser des attaques par déni de services (ou DDoS – des attaques qui ont pour objectif de rendre indisponible un site Internet), envoyer du spam, perpétrer des fraudes au clic ainsi que de nombreux actes de cybercrime, à l’insu du propriétaire du terminal infecté. Ces botnets, disponibles à la location sur des forums spécialisés et sur le darknet, peuvent coordonner des millions de terminaux connectés pour des attaques massives et coordonnées. « L’an passé, 13,7 millions de Français ont été victimes d’actes de cybercriminalité, les bots et repères de bots étant un outil clé dans l’arsenal du cyber attaquant, », explique Laurent Heslault, expert en cyber sécurité chez Norton by Symantec. « Tout périphérique connecté à Internet peut être exposé à une infection de bots et donc vulnérable. Ce ne sont pas seulement les ordinateurs qui fournissent aux cybercriminels une armée de robots. En 2016, nous avons remarqué que les cybercriminels utilisaient de plus en plus les smartphones et les objets connectés pour renforcer leurs rangs de bots. Les serveurs offrent également une capacité de bande passante beaucoup plus grande pour une attaque DDoS que les PC grand public traditionnels. »

Selon les experts, l’émergence des appareils connectés pourraient expliquer la hausse des infections de bots en 2016 à travers le monde. Au cours de son apogée l’année dernière, lorsque le repère de bots Mirai se développait rapidement, composé de près d’un demi-million d’appareils connectés tels que les caméras IP et les routeurs à domicile, des attaques contre les objets connectés avaient lieu toutes les deux minutes. À l’insu des propriétaires d’appareils, près d’un tiers (31 %) des attaques proviennent de dispositifs en Europe seulement. La France se classe au 8e rang des pays concernés par l’émission d’attaques contre les objets connectés. Cependant, le lieu de résidence d’un bot n’est pas obligatoirement le lieu de sa création. Par exemple, un dispositif infecté en Europe pourrait contribuer à une attaque en Asie tout en étant contrôlé par un cybercriminel situé aux États-Unis.

Les pays de l’Est, repères de bots ?

La Russie a accueilli le plus grand nombre de bots dans toute l’Europe avec 13,6 % des dispositifs infectés par le virus en Europe qui y résident. Cependant, avec la plus grande population connectée à internet en Europe, la « densité de bots » de la Russie est relativement faible. La « densité de bots » ou les « bots par personne connectée » est une comparaison entre le nombre d’internautes d’un pays et le volume des infections par bots. Il vise à préciser quels pays ont un taux d’infection plus élevé. Avec un bot pour tous les 41 internautes, la Russie se classe au 31e rang en Europe et 94e au monde pour la densité de bots.

Ce taux d’infection relativement faible peut être influencé dans une certaine mesure par les codes de conduite de la communauté de piratage de la Russie. « Les Russes infectant les Russes sont considérés comme un faux pas en cyber criminalité, » commente Candid Wueest. « Il y a eu des cas dans le passé où les cyber-attaquants étaient « doxxed » ou livrés à la police par la communauté de cyber-attaquants pour avoir infecté des terminaux locaux. »

Le Saint-Siège de Rome, le pays le plus petit au monde, a la plus forte densité de bots, non seulement en Europe, mais également dans le monde entier. Le nombre de résidents étant significativement bas, cela signifie qu’une personne connectée au Vatican a une chance sur cinq d’utiliser un dispositif « zombie » permettant aux cybercriminels de lancer des attaques, propager des spams, le tout, à son insu.

Les villes de Madrid, Istanbul et Moscou seraient des repères de bots dans leurs villes que la grande majorité des nations ont dans leur pays. Madrid, avec 4,64 % de la population européenne de bots, Istanbul, avec 4,62 %, et Moscou avec 4,59 % ont eu plus de bots que les Pays-Bas, le 8e pays infecté par le virus en Europe.

Chiffrement, Cyber-attaque, Cybersécurité, Piratage

Hajime: le botnet qui détrône Mirai

26 avril 2017 Damien Bancal

Le botnet Hajimé sort de l’ombre. Une arme numérique mise en lumière par la société Radware et plus dangereuse que Mirai !

Hajime est un botnet IoT très sophistiqué et adaptable conçu pour durer dans le temps. Il est capable de se mettre à jour et d’enrichir les facultés de ses membres avec des fonctions supplémentaires. Le système distribué utilisé pour la commande, le contrôle et la mise à jour d’Hajimé est assimilable à un torrent sans tracker utilisant des informations dynamiques qui changent quotidiennement. Toutes les communications via BitTorrent sont signées et cryptées à l’aide de RC4 et des clés privées / publiques.

Le module d’extension actuel fournit des services de numérisation et de chargement pour découvrir et infecter de nouvelles victimes. L’implémentation efficace du scanner SYN scanne les ports ouverts TCP / 23 (telnet) et TCP / 5358 (WSDAPI).

Lors de la découverte des ports Telnet ouverts, le module d’extension essaie d’exploiter la victime en utilisant une connexion shell brute force similaire à ce que faisait Mirai. Pour cela, Hajime utilise une liste composée des 61 mots de passe par défaut et ajoute 2 nouvelles entrées ‘root / 5up’ et ‘Admin / 5up’ qui sont des valeurs par défaut pour les routeurs sans fil et les points d’accès Atheros.

En outre, Hajime est capable d’exploiter les modems ARRIS à l’aide d’une «porte dérobée». Pour en savoir plus, lire le rapport de Radware.

backdoor, BYOD, Cyber-attaque, Cybersécurité, DDoS, Entreprise, IOT, Mise à jour, Patch, Piratage

DDoS : Le meilleur ami de Mirai est Vietnamien

23 mars 2017 Damien Bancal

L’équipe d’intervention d’urgence de Radware, spécialiste de la disponibilité applicative et de la sécurisation des centres de données, vient de dévoiler un nouveau rapport sur la propagation d’attaques DDoS via des équipements connectés insuffisamment protégés.

Si les vecteurs d’attaque DDoS sont nombreux, la méthode la plus utilisée est la suivante : les attaquants scannent Internet à la recherche d’équipements vulnérables à des attaques par injection de commande spécifiques.

Les commandes utilisées dans ces attaques IoT donnent l’instruction à l’équipement ciblé de télécharger le malware sur une serveur distant pour ensuite l’exécuter.

Une fois le malware exécuté, l’équipement est embrigadé dans un botnet et utilisé pour perpétrer des attaques DDoS.

Dans ce contexte, les mots de passe par défaut sont une bénédiction pour les cybercriminels : admin/admlin ; 0000 ; …

DDoS : Good morning vietnam !

Radware a mis en place un « pot de miel » surveillant l’activité sur le port 23, Telnet. Ce dernier a enregistré 300 tentatives de connexion par jour effectuées par des équipements situé partout dans le monde. Parmi ces appareils, on dénombrait des routeurs, des NAS, des lecteurs/enregistreurs de vidéo et des caméras web.

L’un des équipements les plus utilisés pour lancer des DDoS se trouve principalement au Vietnam. Cet appareil, le VNPT’s GPON IGATE GW040, a été largement infecté pour la simple et bonne raison que ses logins de connexion par défaut ont été divulgués sur Internet.

Cet appareil supporte le protocole d’administration à distance TR-069 et dispose d’un accès Telnet/SSH ouvert. La plupart des constructeurs fournissent sur leurs sites internet des documentations dans lesquelles on trouve les mots de passe par défaut, c’est le cas du GPON IGATE GW040. qBot, Hajime, Mirai et autres scanners utilisent un set de logins de connexion par défaut. Le fichier « scanner.c » de Mirai comporte par exemple 62 mots de passe par défaut de nombreux équipements et les créateurs de botnets recherchent en permanence de nouveaux logins et de nouveaux équipements pour les enrôler. (Radware)

Data Security Breach