Contexte d’analyse

Utilisation des réseaux d’objets connectés zombies pour mener des attaques en déni de service distribué (DDoS)

Les logiciels embarqués dans les objets connectés peuvent contenir des vulnérabilités ou présenter des défauts de configuration qui permettent d’en prendre le contrôle. Dans le cas où ces objets sont exposés sur Internet, des attaquants peuvent alors en prendre le contrôle à distance. Ils sont ensuite en mesure d’utiliser le réseau constitué de ces objets connectés compromis à des fins malveillantes.

Le 10 octobre 2016, le CERT-FR a publié le bulletin d’actualité CERTFR-2016-ACT-041 traitant de l’utilisation de ces réseaux d’objets connectés zombies pour mener plusieurs attaques en déni de service distribué (DDoS) de grande ampleur.

En particulier, le 21 octobre 2016, le réseau d’objets connectés compromis par le logiciel malveillant « Mirai » a été utilisé à l’encontre de l’hébergeur américain de sites Internet Dyn. Les débits observés lors cette attaque en déni de service atteignent alors 1.2 térabits par seconde. L’infrastructure DNS gérée par DYN est saturé, ce qui entraine l’indisponibilité de plusieurs sites Internet majeurs tels que le réseau social TWITTER, le forum REDDIT, le site de partage et développement de code GITHUB, la plateforme de location de logements de particuliers AIRBNB, ainsi qu’un certain nombre de sites de médias comme celui du quotidien THE NEW YORK TIMES ou celui de la chaîne télévisée CNN.

Signalement de l’émergence du réseau d’objets connectés zombies IoTroop / IoT_reaper

Le 19 octobre 2017, l’éditeur de solutions de sécurité israélien Check Point publie sur son site un article qui documente l’émergence d’un nouveau réseau d’objets connectés zombies dénommé « IoTroop ». Le 20 octobre 2017, l’entreprise chinoise de cybersécurité Qihoo 360 NetLab publie sur son blog un article qui traite du même réseau d’objets connectés zombies, qu’il baptise « IoT_reaper ».

Potentiel de croissance et d’attaques

Le réseau d’objets connectés zombies IoTroop / IoT_reaper a suscité l’inquiétude des chercheurs principalement en raison de deux caractéristiques :

  • Alors que la famille « Mirai » utilise principalement des attaques par dictionnaire sur le protocole telnet (essais successifs de couples utilisateurs – mots de passe par défaut) pour se propager, le code malveillant IoTroop / IoT_reaper exploite un ensemble de vulnérabilités afférentes aux objets connectés. Ce vecteur de compromission plus évolué fait craindre aux chercheurs la constitution rapide d’un réseau d’objets connectés de taille très importante et donc une puissance d’attaque considérable, d’autant plus que de nouvelles vulnérabilités peuvent être ajoutées à l’arsenal déjà existant, renforçant ainsi la capacité du code malveillant à infecter de nouveaux équipements.

  • Le programme malveillant installé sur l’objet connecté contient un environnement d’exécution de scripts en langage interprété LUA permettant d’exécuter des codes arbitraires. Cette particularité donne la possibilité aux attaquants d’utiliser le réseau d’objets connectés zombies pour différents usages et offre donc une plus grande capacité d’action. Outre les attaques DDoS observées par le passé, notamment avec Mirai, IoTroop / IoT_reaper pourrait par exemple être exploité afin de distribuer des pourriels, miner de la cryptomonnaie ou servir de relais d’anonymisation.

Moyen de propagation

Une fois infecté, chaque équipement zombie du réseau recherche des objets vulnérables répondant à une liste d’adresses IP générées aléatoirement. Le code responsable de la génération des adresses est le même que celui utilisé par le code malveillant Mirai. La liste des ports utilisés au cours de cette recherche est disponible en annexe.

Les équipements ciblés sont majoritairement des routeurs, des caméras connectées et des enregistreurs vidéo (DVR).

Une fois une cible identifiée, le code malveillant envoie alors à un serveur de centralisation les informations collectées sur l’objet (type de matériel, adresse IP, identifiants de connexion) pour une compromission future.

Vulnérabilités et matériels ciblés

Les vulnérabilités exploitées jusqu’à présent par IoTroop / IoT_reaper  et les matériels pouvant être vulnérables sont listés dans le tableau ci-dessous :

 

Constructeurs

Modèles

Références

Go-Ahead

Caméras WIFICAM

https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html

D-Link

Routeurs DIR-300/DIR-600

http://www.s3cur1ty.de/m1adv2013-003

Routeurs DIR-645

http://roberto.greyhats.it/advisories/20130227

Routeurs 850L

https://blogs.securiteam.com/index.php/archives/3364

Netgear

Stockages ReadyNAS

https://blogs.securiteam.com/index.php/archives/3409

Routeurs DGN1000

http://seclists.org/bugtraq/2013/Jun/8

Vacron

Nombreux modèles de caméras

https://blogs.securiteam.com/index.php/archives/3445

Linksys

Routeurs E1500/E2500

http://www.s3cur1ty.de/m1adv2013-004

Avtech

Nombreux modèles de caméras

https://github.com/Trietptm-on-Security/AVTECH

-

Nombreux modèles d’enregistreurs vidéo (DVR) utilisant un serveur web Jaws

https://www.pentestpartners.com/security-blog/pwning-cctv-cameras/

 

Cette liste n’est pas figée : de nouveaux codes d’exploitation peuvent être ajoutés au fur et à mesure des développements grâce à la capacité de mise à jour à distance du code malveillant.

Cœur du code malveillant

La charge du code malveillant s’exécute sur un objet connecté compromis ayant une architecture MIPS ou ARM.

Le rôle principal de la charge active est de télécharger des scripts LUA puis de les exécuter. Ces scripts permettraient notamment l’envoi des informations récupérées lors des recherches de vulnérabilités ainsi que la mise à jour à distance du code malveillant.

Le fonctionnement détaillé du code est toujours en cours d’analyse. Il existerait notamment des mécanismes permettant d’empêcher l’exécution de codes malveillants tiers ciblant les objets déjà infectés (identification de chaines de caractères connues). Les accès en cours sur le port TCP/23 seraient par ailleurs également terminés lors de l’exécution de IoTroop / IoT_reaper.

Impact potentiel

Jusqu’à présent, d’après les chercheurs, aucune attaque n’aurait été menée avec ce réseau d’objets connectés zombies IoTroop / IoT_reaper. Son but réel est donc pour l’heure inconnu, de même que l’étendue de ses véritables capacités.

Il s’agirait en effet d’un réseau en cours de développement et de constitution. Le nombre d’objets connectés compromis est pour l’heure inconnu et fluctuant. Selon les sources, il est évalué entre 10 000 et 30 000 objets, bien que certains chercheurs estiment qu’environ 2 millions d’objets connectés pourraient être vulnérables.

Recommandations

Au vu des impacts potentiels, le CERT-FR recommande la plus grande prudence lors de l’installation d’objets connectés. Il est fortement conseillé de ne pas exposer d’objets connectés sur Internet lorsque cela n’est pas nécessaire.

De même, des mises à jour régulières des logiciels embarqués sur ces équipements doivent être réalisées lorsqu’elles sont proposées par les constructeurs. Elles permettent de corriger les vulnérabilités exploitables par des attaquants.

ANNEXE : Indicateurs de compromission

 

Domaines

hi8520.com

hl852.com

ha859.com

cbk99.com

bbk80.com

bbk86.com

Adresses IP

222.112.82.231

27.102.101.121

162.211.183.192

198.44.241.220

38.27.102.18

23.234.51.91

Ports scannés

Reconnaissance

4135 14340 16671 20480 20736 20992 21248 21504 22528 31775 36895 37151 39455 42254 45090 47115 64288

Propagation

80 81 82 83 84 88 1080 3000 3749 8001 8060 8080 8081 8090 8443 8880 10000

 

Sources

CHECK POINT – Article du 19 octobre 2017, New IoT botnet storm coming.

https://research.checkpoint.com/new-iot-botnet-storm-coming/

QIHOO 360 NETLAB – Article du 20 octobre 2017, IoT_reaper : a rappid spreading new IoT botnet.

http://blog.netlab.360.com/iot_reaper-a-rappid-spreading-new-iot-botnet-en/

KREBS ON SECURITY – Article du 23 octobre 2017, Reaper calm before the IoT security storm ? 

https://krebsonsecurity.com/2017/10/reaper-calm-before-the-iot-security-storm/

QIHOO 360 NETLAB – Article du 25 octobre 2017, IoT_reaper : A few updates

https://blog.netlab.360.com/iot_reaper-a-few-updates-en/

THREAT POST – Article du 20 octobre 2017. ‘IOTroop’ Botnet Could Dwarf Mirai in Size and Devastation, Says Researcher.

https://threatpost.com/iotroop-botnet-could-dwarf-mirai-in-size-and-devastation-says-researcher/128560/

NEWSKYSECURITY – Article du 24 octobre 2017, A Huge Wave of IoT Zombies Is Coming.

https://blog.newskysecurity.com/a-huge-wave-of-iot-zombies-are-coming-42d61d6cada0?source=collection_home---6------0----------------

ARBOR NETWORKS – Article du 26 octobre 2017. Reaper Madness.

https://www.arbornetworks.com/blog/asert/reaper-madness/

Threat Post – Article du 25 octobre 2017. Hackers Prepping IOTroop Botnet with Exploits.

https://threatpost.com/hackers-prepping-iotroop-botnet-with-exploits/128608/

Radware – Article du 25 octobre 2017. Reaper Botnet.

https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/reaper-botnet/

Ars Technica – Article du 27 octobre 2017. Assessing the threat the Reaper botnet poses to the Internet—what we know now.

https://arstechnica.com/information-technology/2017/10/assessing-the-threat-the-reaper-botnet-poses-to-the-internet-what-we-know-now/

Checkpoint – Article du 29 octobre 2017. IoTroop Botnet: The Full Investigation.

https://research.checkpoint.com/iotroop-botnet-full-investigation/

CERT-FR – Bulletin d’actualité du 10 octobre 2016. Industrialisation de déni de service distribué, le cas particulier des objets connectés. Référence CERTFR-2016-ACT-041.

https://cert.ssi.gouv.fr/actualite/CERTFR-2016-ACT-041/

F5– Article du 26 octobre 2017 Reaper: The Professional Bot Herder’s Thingbot.

https://f5.com/labs/articles/threat-intelligence/cyber-security/reaper-the-professional-bot-herders-thingbot

Rappel des publications émises

Dans la période du 23 octobre 2017 au 29 octobre 2017, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :