Posté le juillet 27, 2019 à 21:16
400 000 APPAREILS IDO PIRATÉS ET UTILISÉS CONTRE UNE APPLICATION DE STREAMING
Selon des rapports récents, une nouvelle et importante attaque de piratage a frappé une application de streaming en ligne en utilisant une importante quantité de botnet. L’attaque a été rapportée par des chercheurs en sécurité d’Imperva, qui affirmaient qu’il y a quelques mois, les pirates informatiques utilisaient un énorme réseau de robots, contenant plus de 400 000 appareils IdO.
L’attaque aurait eu lieu entre mars et avril de cette année et visait une application de streaming en ligne. En outre, le botnet était si massif qu’il a généré plus de 292 000 demandes d’information chaque minute, selon le rapport.
Les attaques DDoS gagnent en force et en nombre
Ce n’est pas la première fois qu’une telle attaque est perpétrée, et les chercheurs ont trouvé de nombreuses similitudes entre ce réseau et son attaque DDoS et le botnet Mirai, qui avait provoqué le chaos en 2016. Les chercheurs affirment que les deux réseaux de zombies utilisent les mêmes ports ouverts.
Vitaly Simonovich, l’un des chercheurs ayant travaillé sur ce rapport, a déclaré qu’il s’agissait de la plus importante attaque DDoS de couche 7 que Imperva ait jamais vue. Cela en dit long sur la gravité et la taille de l’attaque.
Bien sûr, de telles attaques pourraient facilement cibler à peu près n’importe quelle entreprise en ligne. En outre, compte tenu de la popularité des attaques DDoS, les chercheurs estiment qu’il est primordial de savoir quand ils vont frapper et non pas s’ils risquent d’arriver. Les attaques prennent également de plus en plus d’ampleur et Simonovich affirme que les entreprises doivent les prendre au sérieux et préparer des moyens de défense appropriés.
Il a déclaré que même ceux qui en disposent déjà un moyen de défense contre les attaques DDoS devrait faire une vérification afin de s’assurer qu’ils peuvent gérer des attaques de cette taille. Après tout, les attaquants continuent d’améliorer leurs capacités, non seulement en créant de plus grands réseaux de zombies, mais également en augmentant la sophistication de leurs attaques. Les solutions de réduction de risques fonctionnent, mais elles doivent également évoluer afin de servir de défenses appropriées.
Détails sur l’attaque
Cette attaque a duré 13 jours sans interruption. Cependant, Imperva a réussi à empêcher l’attaque de ruiner l’entreprise. Ses clients n’ont connu aucun temps d’arrêt, ce dont l’entreprise devrait certainement être fière. Cependant, après 13 jours, l’attaque s’est simplement arrêtée, sans qu’il n’y ait une raison.
Comme mentionné, cette forme d’attaque DDoS est appelée attaque de couche 7 ou attaque de couche au niveau de la couche applicative. Cela est dû au fait qu’il cible les services Web de l’entreprise. De plus, ce n’était pas la première fois qu’un des clients d’Imperva était touché par un botnet. Un autre cas similaire s’est produit en 2017. À l’époque, on disait que la cible était un établissement scolaire aux États-Unis et qu’il avait été attaqué par le botnet Mirai pendant 54 heures environ.
L’attaque a été longue et sévère, avec 30 000 demandes d’informations par seconde. Lorsque l’attaque a finalement pris fin, il a été estimé que l’établissement avait subi 2,8 milliards de demandes au total.
En ce qui concerne la nouvelle attaque, les chercheurs ne savent toujours pas si l’attaque a utilisé le logiciel malveillant Mirai lui-même ou une alternative. Il est également difficile de savoir si les attaquants voulaient tenter une attaque de Credential Stuffing ou une simple attaque par force brute.
Ce que l’on sait, c’est que la plupart des appareils infectés constituant le botnet étaient des appareils IdO et qu’une grande partie se trouvaient au Brésil. En outre, il a été signalé que les attaquants utilisaient le même agent d’utilisateur que l’application de l’entreprise, ce qui leur permettait essentiellement de cibler le composant d’authentification. Parallèlement, l’attaque a été masquée afin que le réseau ne puisse pas décider si le trafic arrivant était malveillant ou autorisé.
Cette approche pourrait permettre aux hackers de submerger le réseau avant même que celui-ci ne découvre qu’il est attaqué. Ce qui est aussi inhabituel est que les attaquants ont ciblé l’application. La plupart du temps, les attaques se font au niveau du réseau, mais cette fois-ci, l’un des plus gros jamais vu a ciblé une application.
Simonovich a également commenté ceci, affirmant que les réseaux de zombies sont généralement utilisés pour des attaques coordonnées, les attaques par déni de service étant un exemple évident. Ils peuvent également être utilisés pour les attaques par force brute, le Credential Stuffing, etc. Plus le botnet infecte et ajoute à son réseau d’ordinateurs, plus il devient puissant.
Ainsi, si l’objectif des attaquants était de faire planter un service Web, l’étape évidente consisterait à cibler la couche d’application et à essayer de planter le serveur de base de données ou le serveur Web. Le fait que les appareils IdO aient également été utilisés n’est pas si surprenant, compte tenu du fait que la plupart d’entre eux n’ont pas été créés dans un souci de haute sécurité. Plusieurs rapports datant plus tôt cette année ont affirmé que plus de 2 millions d’appareils IdO étaient vulnérables, notamment des caméras, des sonnettes intelligentes, des moniteurs pour bébé, etc.
Les hackers migrent vers les botnets IdO
Comme mentionné précédemment, les attaques utilisant des botnets sont toujours en hausse, malgré le fait que les créateurs de Mirai ont été lourdement poursuivis. Après les premières attaques de Mirai en 2016 et la publication du code source du logiciel malveillant, tout le monde était capable de créer sa propre copie et de la modifier.
En mars, une autre société nommée Palo Alto Networks avait trouvé une autre version du logiciel, avec cette fois-ci jusqu’à 11 nouveaux exploits. Ils ont tous été conçus pour cibler les appareils IdO. Les chercheurs de l’entreprise ont également signalé un certain nombre de failles récemment découverts dans les logiciels utilisés par certaines des plus grandes entreprises, dont LG et Barco. Ces entreprises particulières ont ensuite été ciblées afin que les attaquants puissent obtenir une plus large bande, et lancer une attaque plus large avec une plus grande force.
Malheureusement, les chercheurs ne voient pas la fin des appareils IdO, le secteur est en croissance constante et devient plus populaire que jamais. Pendant ce temps, sa sécurité reste aussi imparfaite que jamais, tandis que les hackers deviennent de plus en plus compétents et intelligents. Dans cette optique, beaucoup prédisent que les dispositifs IdO deviendront les principaux composants des futurs botnets.
