Depuis deux ans, KV Solutions héberge des dizaines de botnets IoT responsables de centaines de milliers d'attaques DDoS. La police hollandaise vient finalement d'intervenir dans ses locaux pour saisir les serveurs et arrêter deux suspects…
C'est une victoire importante pour la cybersécurité dans le domaine de l'Internet des Objets. La police hollandaise annonce avoir mené un raid dans les bureaux de KV Solutions BV : un hébergeur » bulletproof » laissant les cybercriminels exploiter ses serveurs pour commettre leurs méfaits…
Depuis deux ans, cette entreprise a fourni son infrastructure d'hébergements aux criminels du web. Qu'il s'agisse de pages de phishing, de scanners de vulnérabilités, de répertoires de malwares ou d'opérations de cryptominage, KV Solutions fermait délibérément les yeux sur les activités de ses clients.
Cependant, cette entreprise est principalement connue dans le milieu de la cybersécurité pour héberger les scanners, les malwares et les serveurs command-and-control utilisés par les criminels pour créer des botnets IoT et mener des attaques DDoS.
En 2019, KV a hébergé plusieurs dizaines de botnets responsables de dizaines de milliers d'attaques DDoS dans le monde. Ces réseaux de robots ont été créés à l'aide de malwares IoT conçus pour infecter les OS Linux sur lesquels fonctionnent les routeurs et les objets connectés.
Au fil des derniers mois, des malwares IoT en provenance des serveurs de KV Solutions ont infecté des routeurs ASUS, GPON, Fritz!Box, Huawei, MiktroTik, Netgear, des objets connectés AVTECH, des serveurs web JAWS ou encore des modems ZTE.
KV Solutions hébergeait les plus gros Botnets IoT
La plupart des botnets hébergés sur l'infrastructure de KV reposaient sur le malware Mirai, mais d'autres malwares ont aussi été utilisés. On peut notamment citer Fbot, Gafgyt, Hakai, Handymanny, Moobot, Tsunami et Yowai.
Certains de ces botnets ont atteint une envergure colossale, regroupant plusieurs dizaines de milliers d'objets connectés infectés. C'est ce qui a attiré l'attention d'entreprises de cybersécurité comme Trend Micro et Qihoo 360 Netlab. Au total, en 2019, environ 440 261 tentatives de cyberattaques émanant des serveurs de l'hébergeur ont été détectées.
Parmi les victimes des attaques DDoS orchestrées depuis l'infrastructure de KV Solutions, on compte Ubisoft, Wish.com, et tous les principaux fournisseurs de Cloud comme AWS, Microsoft Azure, OVH, AT1T, Comcast, Cox Charter et China Unicom.
La plupart des clients de KV étaient des hackers débutants utilisant des outils automatisés pour créer leurs botnets, mais certains étaient aussi des hackers de renom. On peut citer l'exemple de Subby, l'un des codeurs de malwares IoT les plus connus.
Les administrateurs de KV Solutions ignoraient volontairement toutes les plaintes des victimes de ses clients et laissaient ces derniers agir en toute liberté. Cependant, depuis la fin de l'année 2018, les nombreuses plaintes ont conduit les autorités hollandaises à mener l'enquête avec la complicité discrète de nombreux chercheurs en sécurité.
KV solutions savait que ses jours étaient comptés. Le 1er octobre 2019, les autorités sont intervenues dans les bureaux de l'entreprise pour saisir les serveurs et arrêter deux suspects : Marco B. âgé de 24 ans originaire de Veendam, et Angelo K. âgé de 29 ans originaire de Middelburg.
Lors de leur arrestation, les deux hommes ont tout juste eu le temps de poster un message sur la page Facebook de l'entreprise. Le message annonçait » un dysfonctionnement « , et il s'agissait d'une façon codée d'avertir les clients. En effet, il est probable que les autorités consultent les données contenues sur les serveurs saisis pour remonter jusqu'aux opérateurs de botnets et créateurs de malwares…
- Partager l'article :
