Les chercheurs de l'Unité 42 de Palo Alto ont découvert une nouvelle version du malware IoT Gafgyt. Celle-ci est capable d'enrôler les routeurs WiFi pour créer un vaste botnet et mener des attaques DDoS.
Selon une étude menée par les chercheurs de Palo Alto Networks, la sécurité de l'Internet des Objets reste catastrophique en 2019. Près de 98% du trafic des appareils IoT est non crypté, et 41% de ces appareils utilisent des mots de passe par défaut.
S'il en fallait une, le malware Gafgyt est la preuve que la sécurité de l'IoT ne s'améliore pas. Une nouvelle variante de ce logiciel malveillant, apparu pour la première fois en 2014, vient d'être découverte par les chercheurs de l'Unité 42 de Palo Alto Networks.
Cette nouvelle variante de Gafgyt, mise à jour par ses créateurs, est principalement conçue pour exploiter les vulnérabilités de trois modèles de routeurs sans fil : le Huawei HG532 et le Realtek RTL81XX, déjà pris pour cible par la version originelle, et désormais aussi le Zyxel P660HN-T1A.
Ces trois routeurs, principalement utilisés par de petites entreprises et par des particuliers, présentent des vulnérabilités que Gafgyt exploite pour en prendre le contrôle. Au total, plus de 32 000 routeurs WiFi seraient potentiellement vulnérables. Certaines de ces vulnérabilités datent de plus de 5 ans, et n'ont toujours pas été corrigées…
Dans un premier temps, le malware utilise sa fonction scanner pour détecter des unités vulnérables sur internet. Il exploite ensuite leurs failles pour les compromettre.
Gafgyt se charge ensuite d'enrôler les appareils pour les ajouter à un vaste botnet. Ce réseau serait principalement utilisé pour orchestrer des attaques DDoS, proposées sous forme de service à des cybercriminels…
Gafgyt : un botnet en tant que service proposé sur Instagram pour 8 dollars
Ces attaques pourraient être lancées contre n'importe quel service en ligne pour empêcher son fonctionnement, mais cette nouvelle version de Gafgyt semble principalement focalisée sur les serveurs de jeux vidéo. En particulier, ce sont les serveurs exécutant des jeux Valve Source Engine qui semblent pris pour cible. En guise d'exemple, on peut citer des jeux comme Counter Strike et Team Fortress 2.
Il ne s'agit cependant pas de serveurs détenus par Valve, mais plus souvent de serveurs privés appartenant à des joueurs. On peut en déduire que les principaux clients des hackers sont des joueurs de jeux vidéo souhaitant se venger après une défaite en lançant une DDoS sur les serveurs de leurs rivaux.
D'ailleurs, il est intéressant de noter que ces » botnets en tant que service » sont très faciles à se procurer sans même avoir à fréquenter les forums du Dark Web. Les chercheurs notent que ces services sont proposés directement sur Instagram pour un coût moyen dérisoire d'à peine 8 dollars.
Selon les chercheurs, le botnet Gafgyt serait en compétition directe avec le botnet JenX. Ce dernier cible lui aussi les routeurs Huawei et Realtek, mais pas ceux de Zyxel.
L'objectif des créateurs de Gafgyt semble être de remplacer JenX par leur propre malware afin d'éliminer toute compétition. Ainsi, les routeurs ne seront compromis que par un seul malware et ceci permettra de maximiser les ressources lors du lancement d'une attaque DDoS. Pour ce faire, Gafgyt a été programmé pour » tuer » les autres malwares qu'il trouve sur un appareil infecté.
De manière générale, à mesure que le nombre d'appareils connectés à internet augmentera, il sera de plus en plus facile pour les cybercriminels de les enrôler pour former des botnets ou pour orchestrer d'autres types de cyberattaques. Pour faire face à cette menace grandissante, les chercheurs de Palo Alto recommandent de remplacer votre vieux routeur par un modèle plus récent et de mettre à jour son logiciel régulièrement pour s'assurer qu'il soit protégé contre les éventuelles attaques…
- Partager l'article :
