Encore un. Un nouveau botnet IoT a infecté 100 000 routeurs pour envoyer des spams sur les adresses mail Hotmail, Outlook et Yahoo.
Ceux qui affirment que l'IoT entraînera une augmentation des risques de piratages sont dans le faux. L'Internet des Objets augmente déjà les problèmes de cybersécurité.
L'équipe de chercheurs de Netlab travaillant pour Qihoo 360 a repéré au mois de septembre un botnet IoT composé de 100 000 routeurs. Celui-ci exploite une faille connue depuis cinq ans.
L'exploitation d'une faille repérée il y a cinq ans
En 2013, l'équipe DefenseCode avait découvert ce problème au sein du SDK unPNP de Broadcom. Malheureusement, ce logiciel est embarqué dans de nombreux modèles de routeurs proposés par les fabricants. Il faut dire que l'équipe n'avait pas publié de rapport avant 2017 ce qui explique le retard des mises à jours.
Cette faille permet de concevoir un botnet IoT en exécutant du code malveillant à distance sur un routeur non sécurisé sans avoir besoin d'opérer d'authentification. Les cybarattaquants n'ont même pas besoin de se préoccuper de trouver un mot de passe inscrit en dur.
Si n'est pas le premier du genre à explorer cette vulnérabilité, BCMUPnP_Hunter, le botnet IoT en question, envoie un très grand nombre de requêtes. En infectant l'interface UPnP par le port 5431, le ou les hackers ont réussi à contaminer pas moins de 100 000 routeurs. Pas moins de 3,37 millions d'adresses IP auraient envoyé le scan BCMPnP_Hunter, l'outil principal de cette attaque. Selon Shodan, l'infection pourrait atteindre 400 000 appareils.
Par ailleurs, le botnet IoT infecte des routeurs dans tous les pays du monde. L'Inde, la Chine et les États-Unis sont néanmoins plus touchés.
Un botnet IoT complexe et unique
Autre particularité du Botnet IoT, il est original. Son ou ses créateurs n'ont ni copié ni publié le code de ce malware sur le Web. Les chercheurs de Netlab ont pourtant multiplié les analyses sur le Web. Hui Wang, l'une des personnes qui a découvert ce botnet évoque des mécanismes complexes d'infection.
Celui-ci disposerait de plusieurs stades d'infection. Ainsi, un appareil infecté est mis à profit pour trouver d'autres équipements vulnérables. Cet effet boule de neige n'est pas la seule spécificité du malware. Selon Netlab, une autre fonctionnalité permettrait au botnet IoT d'utiliser les routeurs “conquis” comme des noeuds de proxy et donc des relais de connexions aux serveurs du ou des hackers vers des IPs distants.
Le logiciel infectieux se serait connecté à des adresses IP appartenant à des services de messagerie, dont Yahoo, Hotmail et Outlook. Ces connexions toutes réalisées à partir du port TCP 25 indiqueraient que le botnet IoT sert à bombarder de spams les utilisateurs de ces messageries.
Netlab mettra sûrement à jour son article pour informer les utilisateurs des routeurs en question. Les utilisateurs peuvent demander la liste des IPs infectés.
- Partager l'article :
