Posté le août 2, 2019 à 14:18
UNE NOUVELLE MENACE SE CACHE DANS LE RÉSEAU TOR: UN AUTRE RÉSEAU DE ZOMBIES MIRAI LANCE DES ATTAQUES DDOS
Un autre botnet de taille a été récemment révélé par des chercheurs en sécurité de Trend Micro, qui les ont découvert cachés dans le réseau Tor.Selon les rapports, la nouvelle menace est une variante du fameux botnet Mirai, qui utilise le réseau Tor pour la saisie et le démontage du serveur de commande.
L’origine de Mirai
Mirai est un botnet bien connu utilisé pour lancer des attaques par déni de service distribué (DDoS) en utilisant des objets connectés vulnérables.Ses cibles visaient principalement des sites Web importants, qu’elle bombarderait de demandes d’informations jusqu’à ce que le serveur hébergeant le site Web soit incapable de gérer.Alors le serveur planterait et de même le site Web.
Comme nous l’avons mentionné, ce type de botnet se concentre sur l’infection des appareils IdO et de les ajouter à son réseau.En principe, les appareils sont contrôlés et forcés de faire partie du réseau, ce qui lui confère la force brute nécessaire pour mener des attaques DDoS.Le réseau contient toutes sortes d’appareils IdO, y compris des caméras de surveillance, des routeurs, des appareils ménagers intelligents et même des véhicules.Généralement, il ajoute ces appareils en utilisant les informations d’identification de connexion par défaut des attaques par force brute pour y accéder.
Mirai botnet a été utilisé pour attaquer un site Web appartenant à un expert en sécurité, Brian Krebs.Après cela, le code source de Mirai a été publié et rendu public.Depuis lors, les hackers l’utilisent pour créer leurs propres variantes, souvent avec des fonctionnalités supplémentaires et de nouvelles aptitudes.Parmi ces nouvelles versions figurent Masuta, PureMasuta, Okiru et Satori.Une variante détectée en mars ciblait les systèmes de présentation sans fil et les téléviseurs à affichage dynamique.
Une nouvelle variante fait son apparition
À présent, les chercheurs de Trend Micro ont détecté une nouvelle souche de Mirai contenant principalement les mêmes fonctions et d’autres, notamment l’accès et le contrôle à distance, obtenues via des informations d’identification par défaut et des ports ouverts.En outre, le botnet a la capacité de mener des attaques DDoS et des inondations UDP.Les chercheurs ont également remarqué que le nouveau Mirai se concentre sur deux ports TCP, 34567 et 9527.Cela indique que le botnet peut cibler les DVR et les caméras IP.
Ce qui est intéressant à propos de cette version de Mirai, cependant, c’est le fait que son logiciel malveillant a un serveur C&C caché par les adresses .onion du réseau Tor.En règle générale, les serveurs sont sur le Web «clair», ce qui leur permet d’envoyer rapidement les requêtes de retrait.Le fait que cette variante utilise le réseau Tor rend l’envoi de demandes beaucoup plus difficile.
Les chercheurs pensent que cela pourrait être le début d’une nouvelle tendance parmi les développeurs de logiciels malveillants ciblant les objets connectés.Après tout, le réseau Tor est beaucoup plus sécurisé, et cacher le serveur en lui pourrait rendre sa localisation et son arrêt très difficiles.C’est aussi quelque chose contre lequel les entreprises, les utilisateurs ordinaires et même les chercheurs en sécurité devront commencer à se défendre très bientôt.
Généralement, les réseaux de zombies de Mirai comptent entre un et quatre serveurs de commande et de contrôle.Cependant, il a été découvert que ce botnet particulier avait 30 adresses IP codées en dur et utilisait des proxy Socks5 pour communiquer avec les serveurs cachés de Tor.Si l’une des connexions échoue, le logiciel malveillant peut simplement accéder au serveur suivant.
Bien entendu, ce n’est pas exactement un cas unique.Les hackers ont également tenté d’anonymiser leurs logiciel malveillant malveillants.Il est même arrivé que des hackers agissent de la sorte via le réseau Tor, ce qui rend généralement la menace beaucoup plus difficile à combattre.Toutefois, selon les chercheurs de Trend Micro, ce cas est digne d’intérêt car il pourrait constituer un éventuel antécédent pour de nouvelles familles de logiciels malveillants ciblant les objets connectés qui pourraient évoluer dans ces derniers.
Ces types de brèches entraînent généralement un développement rapide de nouveaux types de menaces, et avec l’environnement de Tor, la possibilité de rendre les serveurs anonymes et des fonctionnalités similaires pourraient conduire à des problèmes entièrement nouveaux.L’un de ces problèmes est le fait que les serveurs peuvent rester actifs, même s’ils sont découverts.Pendant ce temps, le trafic du réseau semble être légitime et reste crypté.Il serait difficile, voire impossible, de l’identifier et de la répertorier sur une liste noire.
