Posté le mai 5, 2020 à 10:30
LES CHERCHEURS AFFIRMENT QUE LE NOUVEAU BOTNET KAIJI UTILISE LA FORCE BRUTE DES SSH POUR ATTAQUER LES DISPOSITIFS IDO
Les chercheurs ont découvert un nouveau logiciel malveillant conçu pour cibler les appareils de l’Internet intelligent des objets (IdO) et les serveurs basés sur Linux. Selon les chercheurs, le logiciel malveillant, nommé Kaiji, a été lancé par un développeur chinois dans le but principal d’infester les systèmes par des attaques DDoS.
Kaiji a été découvert par une équipe de chercheurs en sécurité d’Interzer Labs ainsi que par un chercheur en sécurité connu sous le nom de MalwareMustDie.
Le logiciel malveillant ne ressemble pas aux autres logiciels malveillants attaquant les IdO
Les chercheurs ont souligné que le logiciel malveillant Kaiji n’est pas comme les autres logiciels malveillants qui infectent les appareils IdO. C’est parce qu’il n’est pas écrit dans le langage de programmation C++ habituel, mais dans le langage de programmation Go.
Le langage de programmation Go utilisé dans le développement des logiciels malveillants n’est pas aussi courant que le langage de programmation C++, comme l’ont souligné les chercheurs.
Les programmes C++ sont très courants sur le darknet, ce qui les rend plus faciles à recréer et à concevoir. C’est pourquoi ils sont plus courants que les logiciels malveillants de programmation Go.
De nombreux acteurs du secteur des logiciels malveillants d’IdO préfèrent choisir quelque chose d’aisément disponible plutôt que de choisir de concevoir un nouveau réseau de zombies à partir de zéro. Et plusieurs botnets IdO sont une combinaison de différents modules et de parties provenant de différentes souches.
Un analyste de logiciels malveillants chez Intezer, Paul Litvak, a déclaré que les systèmes de botnets de l’IdO ont été correctement étudiés par les experts en cybersécurité au fil des ans. Il a ajouté que le nouveau code utilisé par ces hackers a été conçu à partir de zéro, ce que l’on ne voit pas souvent dans les attaques visant les dispositifs IdO.
« Ce n’est pas souvent que l’on voit un instrument de botnet écrit à partir de zéro », a-t-il déclaré après avoir analysé le nouveau code.
KAIJI se propage par les attaques par brute force des SSH
MalwareMustDie et Litvak ont révélé que Kaiji a d’abord été découvert dans la nature, et qu’il infecte progressivement de nouveaux systèmes et se répand dans le monde entier.
Litvak a déclaré que le botnet n’a pas la capacité d’utiliser des exploits pour compromettre des dispositifs non protégés pour le moment. Au lieu de cela, il exécute des attaques par force brute contre les serveurs Linux et les dispositifs IdO qui ont rendu leur SSH visible en ligne.
Litvak a également rappelé que seul le compte « root » est infecté car le botnet exige un accès root pour compromettre les dispositifs.
Après avoir obtenu l’accès au compte racine du dispositif, le botnet utilise le dispositif de trois manières différentes. Premièrement, il peut voler n’importe quelle clé SSH locale et la transmettre à d’autres dispositifs que le compte principal a conservés auparavant. Deuxièmement, Kaiji peut activer d’autres attaques par force brute des SSH sur d’autres dispositifs. Troisièmement, et c’est la façon la plus courante d’utiliser le dispositif, il s’agit des attaques DDoS.
KAIJI n’est peut-être pas encore le produit final
Il existe des preuves solides que le logiciel malveillant Kaiji pourrait encore passer par la phase de développement. Cela signifie que le logiciel malveillant pourrait être encore plus puissant à l’avenir.
Lorsque les chercheurs ont comparé leurs codes avec ceux d’autres réseaux de zombies plus établis, il manquait certaines caractéristiques. Dans certains cas, le botnet se plante car le rootkit se fait généralement appeler trop souvent. Et dans certains cas, le botnet contient encore des chaînes de « démo ».
De plus, les serveurs de commande et de contrôle du réseau de zombies sont parfois déconnectés, ce qui le rend vulnérable aux autres réseaux de zombies et laisse les dispositifs compromis sans serveur maître.
Les récents botnets IdO sont désormais fragmentés
Le logiciel malveillant d’IdO a récemment évolué, le botnet Kaihi étant le dernier à apparaître sur la scène.
Dans le passé, les réseaux de zombies pouvaient aller jusqu’à infecter plus de 500 000 appareils. Mais aujourd’hui, la majorité des botnets IoT ne vont même pas au-delà de 20 000 appareils infectés.
L’émergence des kits de botnets open source a permis à un plus grand nombre de botnets d’être actifs quotidiennement. Ils cherchent à compromettre les dispositifs IdO connectés en ligne. Cela signifie que la scène des botnets IdO est désormais divisée en différents segments, chaque acteur se concentrant sur un domaine particulier.
Le botnet pourrait constituer une menace à l’avenir
Actuellement, Litvak et MalwareMustDie suivent le développement de Kaiji car tous deux ont déclaré que le logiciel malveillant pourrait devenir une très grande menace à l’avenir.
Les deux chercheurs ont également convenu que les acteurs responsables du botnet sont des développeurs chinois. Selon les conclusions des chercheurs, la majorité des fonctions du code ont été interprétées à partir de termes chinois.
