Posté le novembre 2, 2021 à 16:08
NETLAB SECURITY DÉCOUVRE UN BOTNET MALVEILLANT « PINK » QUI A INFECTÉ 1,6 MILLION D’APPAREILS
Une nouvelle étude menée par une société de cybersécurité a révélé la plus grande attaque de botnet. Les chercheurs impliqués dans cette étude ont déclaré que le botnet a été découvert dans la nature et qu’il a fonctionné au cours des six dernières années. L’étude indique que le botnet a touché plus de 1,6 million d’appareils au cours des six dernières années de fonctionnement.
La recherche indique que les appareils touchés lors de cette attaque étaient principalement basés en Chine. La recherche indique que les objectifs des attaquants derrière ce botnet étaient de lancer une attaque par déni de service distribué (DDoS) et d’insérer des publicités dans les sites Web HTTP auxquels les victimes sans méfiance avaient accédé.
Les chercheurs détectent le botnet Pink
Les recherches en question ont été menées par l’équipe de sécurité Netlab de Qihoo 360. L’équipe a déclaré que le logiciel malveillant en question était surnommé « Pink ». La recherche a également déclaré que le premier échantillon de ce logiciel malveillant a été collecté le 21 novembre 2019. Les chercheurs ont déclaré que ce logiciel malveillant a été surnommé le botnet Pink en raison du nombre élevé de noms de fonctions qui commençaient par le nom « pink ».
Les chercheurs ont déclaré que la cible principale du logiciel malveillant était les routeurs à fibres optiques basés sur MIPS. Son mécanisme de fonctionnement utilise un ensemble de services et de plates-formes tiers, dont GitHub, des réseaux peer-to-peer (P2P) et des serveurs centraux de commande et de contrôle (C2). Ces serveurs sont utilisés par le botnet pour contrôler les communications.
En outre, le logiciel malveillant fonctionne en cryptant totalement les canaux de transmission. Cela empêche l’appareil ciblé d’être récupéré par ses propriétaires.
Dans le rapport publié le 29 octobre, les chercheurs ont déclaré que « Pink a fait la course avec le fournisseur pour garder le contrôle des appareils infectés, tandis que le fournisseur a fait des tentatives répétées pour corriger le problème, le botmaster a remarqué l’action du fournisseur également en temps réel, et a effectué de multiples mises à jour du firmware sur les routeurs de fibres en conséquence. »
Cependant, les chercheurs n’ont pas mentionné le fournisseur qui a été compromis lors de ces attaques, précisant qu’ils l’avaient d’abord informé au début de l’année 2020 et lui ont laissé le temps de corriger l’erreur avant de publier leurs découvertes.
La plupart des appareils concernés étant originaires de Chine, les chercheurs ont déclaré que l’équipe technique chinoise de réponse aux urgences des réseaux informatiques et le centre de coordination (CNCERT/CC) ont également été impliqués dans la prise de mesures qui aideront à résoudre le problème du botnet découvert sur les appareils.
Étonnamment, les chercheurs ont également ajouté que le botnet Pink utilisait un protocole DNS-Over-HTTPS (DoH). Il s’agit d’un protocole utilisé pour effectuer des résolutions à distance du système de nom de domaine. Les résolutions sont effectuées à l’aide du protocole HTTPs, et elles sont utilisées pour se connecter au contrôleur noté dans le fichier de configuration.
Les chercheurs ont ajouté que le botnet utilisait également le protocole DoH pour se connecter au contrôleur répertorié dans un fichier de configuration livré via GitHub ou par le biais de Baidu Tieba. Il était également livré via un nom de domaine intégré qui était codé en dur dans certains des échantillons collectés.
Le botnet ciblait les utilisateurs chinois
Plus de 96 % des nœuds zombies utilisés pour mener l’attaque de « réseau de zombies à très grande échelle » étaient basés en Chine. Les résultats de ce rapport ont également été confirmés par un autre rapport indépendant publié par NSFOCUS, une société de cybersécurité basée à Pékin.
Les deux rapports ont conclu que les acteurs de la menace accédaient aux dispositifs pour installer des programmes malveillants en exploitant des vulnérabilités zero-day. Ces vulnérabilités étaient situées sur les dispositifs de passerelle réseau.
La publication de ce rapport appelle également à une plus grande vigilance de la part des institutions car les chercheurs ont constaté que le logiciel malveillant était toujours actif. Ils ont également indiqué qu’environ 100 000 nœuds du logiciel malveillant étaient toujours actifs. Toutefois, les chercheurs ont indiqué qu’un grand nombre d’appareils infectés avaient déjà été réparés et que leurs services avaient été rétablis.
Le botnet a été utilisé pour lancer une centaine d’attaques DDoS à ce jour. Cette recherche montre que ces botnets peuvent être utilisés pour offrir une infrastructure puissante qui peut être exploitée par des acteurs malveillants pour lancer des attaques sur des appareils.
« Les appareils de l’Internet des objets sont devenus un objectif important pour les organisations de production noire et même les organisations de menaces persistantes avancées (APT) », indique la recherche indépendante. Les chercheurs ont également noté que si cette attaque de botnet pourrait être la plus importante jamais enregistrée, elle ne serait pas la dernière.
« Lorsque l’on évalue les risques apportés par les botnets, il faut non seulement savoir ce que les hackers ont fait par le biais des botnets mais aussi anticiper les zombies. Ce à quoi le réseau pourrait servir à l’avenir, afin de pouvoir y faire face sereinement en cas de menaces. Nous prêterons une attention particulière au développement de la technologie des hackers et aux tendances des organisations de hackers, à l’étude approfondie du mécanisme et des caractéristiques des botnets à très grande échelle, et nous continuerons à exposer les dommages potentiels des botnets », a déclaré NSFOCUS.
