Dark Nexus, le botnet récemment découvert, cible les périphériques IoT avec une architecture à 12 CPU : routeurs domestiques, enregistreurs vidéo et d'autres appareils connectés. Il fonctionne en utilisant des attaques de bourrage d'informations d'identification contre ces d'appareils.
Dark Nexus, un botnet IoT aux nombreuses fonctionnalités avancées
Découvert récemment, ce botnet se nourrit des routeurs domestiques, d'enregistreurs vidéo et d'autres appareils intelligents. Dark Nexus possède des fonctionnalités avancées jamais observées auparavant. La possibilité de masquer une menace et d'infecter les périphériques qui s'exécutent sur au moins 12 processeurs différents fait partie de ses nombreuses fonctionnalités. Par ailleurs, son développeur ajoute régulièrement des fonctionnalités à son botnet et ne cesse d'améliorer ses capacités. Les chercheurs du fournisseur d'antivirus Bitdefender l'a suivi pendant 3 mois, période durant laquelle la menace aurait subi 30 mises à jour de version.
Dark Nexus identifié comme un des plus puissants malware
À ce jour, ce logiciel malveillant a infecté 1372 appareils intelligents de la marque Dasan, Zhone, Dlink et ASUS. Les chercheurs s'attendent à ce que davantage de modèles d'appareils soient affectés à mesure que le développement de Dark Nexus se poursuit. Dark Nexus partage certaines fonctionnalités avec des botnets IoT connus auparavant. Mais la façon dont certains de ses modules ont été développés le rend beaucoup plus puissant et robuste. Ce malware devine les mots de passe administrateur courants et exploite les failles de sécurité. Sa capacité à cibler des systèmes sur une large gamme de processeurs participe également à sa puissance.
Les différents modes d'attaque de dark Nexus
Dark Nexus mène principalement des attaques de déni de service distribué (DDoS). Il met les sites web et d'autres services connectés en mode hors ligne en les inondant de trafics indésirables, plus qu'ils peuvent en gérer. Le logiciel malveillant dispose d'un mécanisme qui permet d'afficher ce trafic malveillant en données bénignes envoyées par les navigateurs Web. Ce mode de fonctionnement assure l'efficacité de l'attaque.
Par ailleurs, Dark Nexus dispose d'une fonctionnalité qui lui garantit la « suprématie » sur les appareils compromis. Ce module unique lui permet d'évaluer la fiabilité de divers processus exécutés sur un appareil par un système de notation. Les processus identifiés comme bénins sont automatiquement ajoutés à la liste blanche.
Dark Nexus peut également tuer les processus de redémarrage, une fonctionnalité qui permet aux logiciels malveillants de fonctionner plus longtemps sur un appareil, car la plupart des logiciels malveillants IoT ne peuvent survivre à un redémarrage. Pour rendre les infections plus furtives, les développeurs utilisent des appareils déjà compromis pour fournir des exploits et des charges utiles.
Une variante de Mirai et Qbot, tous développés par Greek.Helios ?
Les premières versions de Dark Nexus contiennent la mention @Greek.Helios lors de l'impression de leur bannière. Ce nom est aussi apparu dans la version 2018 de « hoho », une variante du logiciel malveillant Mirai. Hoho et Dark Nexus contiennent une partie du Mirai et Qbot. Les chercheurs de Bitdefender ont rapidement découvert que Greek.Helios est le nom utilisé par une personne qui vend des logiciels malveillants IoT et des services DDoS en ligne. Sur sa chaîne YouTube, Greek.Helios publie plusieurs vidéos faisant la promotion des logiciels malveillants et des services offerts. Après ses recherches, Bitdefender soupçonne Greek.Helios d'être l'auteur de Dark Nexus.
- Partager l'article :
