mar. Mar 5th, 2024
Attaque sur les routeurs & Co. – Le botnet Mirai prend le contrôle des appareils intelligents
Rate this post

La prochaine attaque DDoS de ce botnet Mirai pourrait également provenir de votre routeur, de votre caméra IP ou d’autres appareils intelligents.

Les attaquants infectent de nombreux appareils Linux tels que les routeurs et les appareils intelligents afin de les utiliser pour leur prochaine attaque DDoS. En exploitant un total de 13 vulnérabilités et attaques par force brute, ils prennent parfois le contrôle de votre Fritzbox, de votre caméra IP et de nombreux autres appareils IoT.

Le nouveau malware Mirai lance une attaque sur les routeurs et les appareils IoT

Les cybercriminels utilisent une nouvelle variante de malware appelée « V3G4” pour les attaques sur les appareils basés sur Linux tels que les routeurs et les appareils intelligents. Une fois pris en main, les participants au réseau infiltrés sont utilisés pour mener des attaques DDoS (Distributed Denial of Service) sur diverses cibles.

Comme le rapporte BleepingComputer, le malware exploite un total de 13 vulnérabilités différentes pour exécuter à distance du code malveillant sur des appareils Linux.

  • CVE-2012-4869 : Vulnérabilité d’exécution de commandes à distance FreePBX Elastix
  • Vulnérabilité d’exécution de commandes à distance Gitorious
  • CVE-2014-9727 : Vulnérabilité d’exécution de commande à distance de la webcam FRITZ!Box
  • Vulnérabilité d’exécution de commande à distance Mitel AWC
  • CVE-2017-5173 : Vulnérabilité d’exécution des commandes à distance des caméras IP Geutebruck
  • CVE-2019-15107 : Vulnérabilité d’injection de commande Webmin
  • Vulnérabilité d’exécution de commande arbitraire de Spree Commerce
  • Vulnérabilité d’exécution des commandes à distance des caméras thermiques FLIR
  • CVE-2020-8515 : Vulnérabilité d’exécution de commandes à distance DrayTek Vigor
  • CVE-2020-15415 : Vulnérabilité d’injection de commande à distance DrayTek Vigor
  • CVE-2022-36267 : Vulnérabilité d’exécution des commandes à distance d’Airspan AirSpot
  • CVE-2022-26134 : Vulnérabilité d’exécution de code à distance dans Atlassian Confluence
  • CVE-2022-4257 : Vulnérabilité d’injection de commande du système de gestion Web C-Data

Unité 42

Le logiciel malveillant obtient un accès initial en utilisant une attaque par force brute pour déterminer les informations de connexion non sécurisées pour Telnet ou SSH. Même les mots de passe standard sont une aubaine pour V3G4.

Voir aussi  Clearview AI étend l'accès à la base de données

Trois campagnes d’attaque avec beaucoup en commun

Les chercheurs en sécurité de l’unité 42 de Palo Alto Networks ont découvert ce logiciel malveillant, qui utilise parfois des attaques ciblées pour inclure des routeurs tels que la Fritzbox dans un botnet. Entre juillet et décembre 2022, ils ont identifié un total de trois campagnes à travers lesquelles les attaquants ont systématiquement distribué leur malware Mirai.

Les chercheurs ont découvert certaines similitudes dans les domaines C2 (serveurs de commande et de contrôle) stockés dans le code source de V3G4, les clés de déchiffrement XOR, les téléchargeurs de scripts shell et le fonctionnement des clients botnet. Par conséquent, ils ont supposé que les trois campagnes devaient provenir du même attaquant.

Les logiciels malveillants éliminent la concurrence et se protègent

Si l’attaque du logiciel malveillant sur un routeur ou un autre appareil Linux a réussi, le logiciel tue d’abord quelques processus à partir d’une liste codée en dur qui était également identique dans les trois campagnes. Cela désactive parfois le logiciel client des botnets concurrents.

Le serveur C2 connecté envoie ensuite des commandes d’attaque DDoS aux appareils IoT infectés. Y compris les méthodes d’inondation TCP, UDP, SYN et HTTP courantes.

V3G4 protège son propre code en utilisant quatre clés XOR différentes. Cela rend le malware beaucoup plus difficile à désosser son code source que les autres variantes de Mirai.

On peut également supposer que les cerveaux derrière V3G4 peuvent vendre leurs services DDoS aux clients. Cependant, il n’a pas encore été possible d’établir une connexion à une offre connue.

Voir aussi  Verdict xHamster : pas de pornographie amateur sans consentement

Si vous souhaitez protéger votre routeur, votre caméra IP ou d’autres appareils intelligents contre une telle attaque, vous devez toujours modifier les mots de passe standard et toujours fournir à vos appareils les dernières mises à jour de sécurité.