Posté le novembre 12, 2022 à 6:52
LES HACKERS PROFITENT DES CONNEXIONS SSH FAIBLES POUR IMPLANTER DES BOTNETS KMSDBOT
Un bot DDoS récemment découvert a profité de connexions SSH avec des identifiants de connexion faibles pour extraire des actifs cryptographiques et épuiser les ressources du réseau.
Les chercheurs du réseau Akamai Cyber Security ont noté que les acteurs de la menace ont profité de protocoles orientés vers l’Internet pour avoir accès aux systèmes des entreprises et miner les crypto-monnaies. De plus, ils ont pris pied sur les réseaux d’entreprise et ont lancé des attaques DDoS sur le réseau ciblé.
Les chercheurs ont appelé le botnet KmsdBot. Il attaque les systèmes par le biais d’une connexion Secure Shell Protocol (SSH) avec des identifiants de connexion poreux. Ce protocole donne aux utilisateurs le contrôle et l’accès, leur permettant de modifier leurs serveurs distants sur Internet.
Les chercheurs affirment que le botnet est très puissant
Le botnet présente un risque élevé pour les organisations qui utilisent des réseaux d’entreprise connectés à Internet ou à une infrastructure en nuage. Larry Cashdollar, ingénieur en réponse aux renseignements de sécurité d’Akamai, a déclaré que les acteurs de la menace ciblent généralement des entités en ligne et peuvent se propager eux-mêmes.
« Une fois que ce logiciel malveillant est exécuté sur votre système, il a essentiellement une emprise sur votre réseau », a-t-il ajouté. Selon M. Cashdollar, le logiciel malveillant est très puissant et possède de nombreuses fonctionnalités, notamment la mise à niveau et l’implantation dans le réseau de la cible et les systèmes environnants. Le botnet KmsdBot est écrit en Golang pour empêcher toute détection par les logiciels de sécurité.
Les chercheurs ont également noté qu’en plus d’avoir une forte capacité d’évasion, KmsdBot a un éventail de cibles « erratique ». Il s’agit notamment de constructeurs de voitures de luxe et d’entreprises de jeux et de technologie. Il cible généralement les grandes organisations qui ont une portée et une présence internationales.
Golang est un langage de programmation populaire utilisé régulièrement par les hackers et les mauvais acteurs en raison des difficultés que rencontrent les chercheurs en sécurité lorsqu’ils veulent en faire l’ingénierie inverse. Cela donne aux acteurs de la menace la couverture dont ils ont besoin pour poursuivre leurs exploits pendant très longtemps tout en restant sous le radar.
Mais ce botnet KmsdBot n’est pas comme les autres types de botnets populaires. Une fois qu’il a accès à un système, il ne reste pas très longtemps pour maintenir sa persistance. Cela le rend très glissant et facile à échapper à la détection. Lorsqu’un chercheur arrive sur le système, il a déjà fait ses dégâts et est parti. « Il n’est pas fréquent de voir ces types de réseaux de zombies attaquer et se propager activement, ajoute Cashdollar.
Les chercheurs d’Akamai ont déclaré que le botnet KmsdBot a été détecté lorsqu’il a tenté d’accéder à un pot de miel inhabituellement ouvert pour attirer les attaquants. La première victime a été une société de jeux vidéo appelée FiveM, qui est également un client d’Akamai. Cette société de jeux permet aux gens d’héberger leurs serveurs personnalisés pour Grand Theft Auto Online.
Selon les chercheurs, les attaquants ont construit un paquet en utilisant un jeton de session FiveM après avoir ouvert un socket de protocole de datagramme utilisateur (UDP).
D’autres attaques moins spécifiquement ciblées ont été découvertes
L’outil de communication UDP est utilisé par plusieurs réseaux pour permettre des transmissions sensibles au temps sur Internet, comme les consultations DNS et la lecture de vidéos.
Cashdollar a noté que l’approche permettait au serveur d’agir comme si un utilisateur voulait démarrer une nouvelle session. Par conséquent, il gaspillera davantage de ressources, en plus de la bande passante du réseau, sur la supposée nouvelle session.
En outre, les chercheurs disent avoir découvert une série d’autres attaques menées par le KmsdBot, mais celles-ci étaient moins spécifiquement ciblées.
Il s’agit notamment de la couche 7 du protocole HTTP, constituée de requêtes POST et GET, ainsi que de paquets TCP/UDP génériques de la couche 4 avec des données aléatoires comme charge utile. Les protocoles étaient dirigés soit vers un chemin spécifique, soit vers le chemin racine défini dans la commande d’attaque.
Les chercheurs ont découvert que le bot a une capacité de cryptomining, mais cet aspect de sa fonctionnalité n’a pas été observé.
Selon les chercheurs, le bot KmsdBot est capable d’utiliser un large éventail d’architectures d’attaque, notamment mips64, Winx86, x86_64 et Arm64. Il utilise le protocole TCP pour communiquer avec son infrastructure de commande et de contrôle.
Les entités peuvent protéger leurs systèmes en appliquant des protocoles de sécurité
Les chercheurs ont indiqué que les entités peuvent également atténuer ces attaques en appliquant des mesures de sécurité réseau courantes. Les organisations ciblées devraient utiliser l’authentification par clé et désactiver les connexions par mot de passe pour se donner de fortes chances de se protéger contre les attaques. Akamai a ajouté que le piratage des protections vulnérables d’une entreprise ou l’utilisation d’informations d’identification volées est l’une des façons les plus courantes pour les hackers d’accéder aux systèmes des entreprises.
Outre l’utilisation d’une protection forte par mot de passe, les chercheurs ont également conseillé aux entités d’activer l’authentification multifactorielle (MFA) et d’autres approches de sécurité plus avancées pour offrir une protection plus forte contre les invasions. Malgré ces recommandations formulées par divers organismes de sécurité, les entreprises ne protègent toujours pas leurs systèmes. Cela a conduit à un grand nombre d’attaques évitables, selon les chercheurs.
