Selon les chercheurs en cybersécurité de l'opérateur CenturyLink, le Botnet IoT responsable du DDoS The Moon revient sur le devant de la scène. Il est utilisé pour faire du trafic via un réseau proxy pour alimenter un système de fraude publicitaire vidéo sur YouTube.
Généralement, les hackers se partagent le code des botnets IoT. Ils se basent sur des modèles qui ont fait leurs preuves, puis ils les “améliorent” afin de réaliser leurs méfaits.
L'équipe de chercheur en cybersécurité de l'opérateur CenturyLink s'est penchée sur un Botnet IoT nommé TheMoon. Ce dernier infectait de plus en plus de routeurs mis en ordre d'attaque afin de s'en prendre à des sites Web populaires. Cette situation nécessitait une enquête.
Une enquête menée par CenturyLink
Cette investigation a révélé que le Botnet IoT TheMoon était maintenant doté d'un nouveau module afin d'infecter les routeurs et les objets connectés, puis de les transformer en proxy pour réaliser du trafic malveillant autour de publicités vidéo sur YouTube, par exemple.
Pour ce faire, les attaquants utilisent le Botnet IoT pour infecter les MIPS des routeurs et les objet connectés. Ces microprocesseurs communément utilisés dans la conception des routeurs et des modems sont des portes d'entrée pour TheMoon. Ensuite, le nouveau module transforme l'appareil infecté en proxy SOCKS. Cela permet au hacker de contourner le filtrage ou masquer la source du trafic Internet. Ainsi, il peut vendre son réseau proxy comme un service.
CenturyLink a notamment analysé les opérations d'un hacker responsable d'un système de publicité vidéo frauduleux sur YouTube qui utilisait le botnet IoT comme un proxy. Depuis un seul serveur et sur une période d'activité de 6 heures, il a eu un impact sur 19 000 liens uniques répertoriés sur 2700 domaines.
Quatre ans après, le retour d'un botnet IoT
Ce n'est pas la première fois que le nom du botnet IoT fait surface. Il est apparu en 2014 alors qu'il exploitait les failles des routeurs et des objets connectés. Les hackers l'utilisaient pour réaliser des attaques de déni de service (DDoS).
Tombé en désuétude, la plupart des chercheurs en cybersécurité pensaient qu'il n'était plus utilisé. Cependant, plusieurs équipes de recherche ont constaté le retour de TheMoon sous la forme d'un réseau proxy. Certains hackers ont par exemple piraté de nouveaux routeurs en attirant des utilisateurs sur des sites de rencontres pour adulte.
Selon Zdnet.com, le laboratoire Qihoo 360 de Netlab a trouvé un premier module de proxy intégré dans le Botnet IoT en début d'année 2018. C'est finalement CenturyLink qui a confirmé son utilisation frauduleuse. Il a notamment servi pour des DDoS, du bourrage de certificats, des fraudes publicitaires, de l'obfuscation de trafic, etc.
CenturyLink déclare avoir bloqué le Botnet IoT sur son réseau et recommande à d'avoir prévenu les clients touchés par les attaques. L'équipe de chercheur recommande aux abonnés de l'opérateur de mettre à jour leurs routeurs et modems.
- Partager l'article :
