Posté le mars 6, 2021 à 15:41

UNE NOUVELLE VARIANTE DE GAFGYT BASÉE SUR TOR QUI ATTAQUE LES APPAREILS IOT ET D-LINK DÉCOUVERTE

Netlab360 a récemment fait découvrir à ses chercheurs une toute nouvelle variante de la famille des botnets Gafgyt. Cette nouvelle variante est unique grâce à sa capacité à utiliser le réseau Tor pour dissimuler activement ses activités malveillantes.

La dernière évolution de Gafgyt

Gafgyt lui-même est un botnet qui a été découvert en 2014. Il avait acquis sa grande notoriété principalement grâce au déni de service distribué (DDoS) qu’il avait opéré à grande échelle. Quant à cette dernière variante, appelée Gafgyt_tor, elle a été découverte par des chercheurs le 15 février 2021.

Comme indiqué ci-dessus, Gafgyt_tor utilise le réseau Tor pour essayer de cacher ses communications de commande et contrôle (C2). Un autre avantage est le cryptage des chaînes de caractères sensibles dans les échantillons. Maintenant, il faut noter que les familles de logiciels malveillants utilisant Tor ne sont pas vraiment nouvelles, mais c’est remarquable pour Gafgyt puisque c’est la première instance enregistrée pour cette famille de logiciels malveillants en particulier.

Trois vulnérabilités différentes ciblées

Quant à la manière dont le botnet se propage, c’est assez simple : il cible les mots de passe Telnet faibles, ce qui est en soi un problème courant dans la plupart des appareils IdO (Internet des Objets). Gafgyt utilise en particulier trois vulnérabilités différentes pour ce faire.

La première est une vulnérabilité d’exécution de code à distance dans le logiciel du portail Liferay Enterprise, qui n’a étrangement pas de CVE. La seconde est CVE-2019-16920, une faille d’exécution de code à distance située dans les appareils D-Link. Enfin, il utilise le CVE-2019-19781, une vulnérabilité au sein du Citrix Application Delivery Controller.

Les chercheurs de Netlab360 ont révélé que la fonction principale de Gafgyt_tor, qui est d’ajouter la fonction de proxy Tor afin de fournir l’adresse du serveur IP, a connu un changement généralisé. Les chercheurs ont révélé que la fonction originale pour ce faire, initConnection(), a été complètement abandonnée. Cette fonction permettait d’établir une connexion au C2, mais elle est maintenant remplacée par une grande section de code chargée de l’établir.

Les capacités de Gafgyt

Quant à savoir ce que cette variante de Gafgyt_tor peut faire à elle seule, la liste est assez impressionnante et ensuite inquiétante. Dans cette grande partie du nouveau code, il existe une fonction appelée tor_socket_init, chargée de créer toute une liste de nœuds de proxy, tous dotés d’un port et d’une adresse IP. Plus de 100 proxy Tor peuvent être développés de cette manière, avec de nouveaux exemples mettant constamment à jour le proxy.

Après que cette fonction ait lancé la liste de proxy, l’échantillon lui-même procédera à la sélection d’un nœud aléatoire. Cela permettra de communiquer avec Tor, en utilisant les fonctions tor_retrieve_port et tor_retrieve_addr.

Une fois que la connexion avec le C2 est établie, le système infecté par le botnet demande alors une adresse darknet de wvp3te7pkfczmnnl.onion, en attendant simplement une commande après cela.

Mêmes motivations

Les chercheurs ont également fait des déclarations intéressantes sur les objectifs de cette nouvelle variante de botnet. Selon eux, l’objectif de cette nouvelle variante de Gafgyt est le même que le reste : le scanning et les attaques DDoS. Cependant, une nouvelle directive a été ajoutée aux derniers logiciels malveillants, selon les chercheurs : LDSERVER.

Avec ce nouvel ajout au botnet, le C2 est capable de spécifier les adresses exactes à partir desquelles les charges utiles peuvent être déchargées. Sur le plan logistique, cela signifie que l’attaque peut rapidement commencer à changer de tactique, en changeant de cap au cas où un serveur de téléchargement appartenant aux attaquants serait soudainement désactivé après avoir été identifié.

Fabriqué par Freak/Keksec

Quant à la façon dont les chercheurs ont identifié Gafgyt_tor comme un produit de Gafgyt dont ils sont fiers, ils ont cité ses origines. Netlab360 a expliqué que ses origines proviennent du groupe Keksec, plus communément appelé l’acteur malveillant Freak. Aujourd’hui, Keksec utilise les mêmes adresses IP et le même code entre les différentes autres familles de botnets, comme Tsunami et Necro.

On peut donc supposer que Necro et Gyfgat sont tous deux exploités par le même groupe. Net360 a fait état des multiples codes sources du botnet, le stock d’adresses IP et la capacité du groupe à poursuivre son développement. Cependant, l’exploitation réelle de ces botnets utilise le même code source. C’est principalement de cette manière que ces groupes peuvent être identifiés comme étant à l’origine de ces botnets.

Le temps nous dira ce que ce Keksec fera, mais il semble que ce botnet soit utilisé principalement pour attaquer par déni de service (DDoS) les serveurs de jeux à travers le monde, les paralysant par la même occasion. Le but ultime du Keksec n’est pas clair, et il pourrait bien être de semer le chaos juste pour le plaisir.