Contexte d’analyse
Utilisation des réseaux d’objets connectés zombies pour mener des attaques en déni de service distribué (DDoS)
Les logiciels embarqués dans les objets connectés peuvent contenir des vulnérabilités ou présenter des défauts de configuration qui permettent d’en prendre le contrôle. Dans le cas où ces objets sont exposés sur Internet, des attaquants peuvent alors en prendre le contrôle à distance. Ils sont ensuite en mesure d’utiliser le réseau constitué de ces objets connectés compromis à des fins malveillantes.
Le 10 octobre 2016, le CERT-FR a publié le bulletin d’actualité CERTFR-2016-ACT-041 traitant de l’utilisation de ces réseaux d’objets connectés zombies pour mener plusieurs attaques en déni de service distribué (DDoS) de grande ampleur.
En particulier, le 21 octobre 2016, le réseau d’objets connectés compromis par le logiciel malveillant « Mirai » a été utilisé à l’encontre de l’hébergeur américain de sites Internet Dyn. Les débits observés lors cette attaque en déni de service atteignent alors 1.2 térabits par seconde. L’infrastructure DNS gérée par DYN est saturé, ce qui entraine l’indisponibilité de plusieurs sites Internet majeurs tels que le réseau social TWITTER, le forum REDDIT, le site de partage et développement de code GITHUB, la plateforme de location de logements de particuliers AIRBNB, ainsi qu’un certain nombre de sites de médias comme celui du quotidien THE NEW YORK TIMES ou celui de la chaîne télévisée CNN.
Signalement de l’émergence du réseau d’objets connectés zombies IoTroop / IoT_reaper
Le 19 octobre 2017, l’éditeur de solutions de sécurité israélien Check Point publie sur son site un article qui documente l’émergence d’un nouveau réseau d’objets connectés zombies dénommé « IoTroop ». Le 20 octobre 2017, l’entreprise chinoise de cybersécurité Qihoo 360 NetLab publie sur son blog un article qui traite du même réseau d’objets connectés zombies, qu’il baptise « IoT_reaper ».
Potentiel de croissance et d’attaques
Le réseau d’objets connectés zombies IoTroop / IoT_reaper a suscité l’inquiétude des chercheurs principalement en raison de deux caractéristiques :
-
Alors que la famille « Mirai » utilise principalement des attaques par dictionnaire sur le protocole telnet (essais successifs de couples utilisateurs – mots de passe par défaut) pour se propager, le code malveillant IoTroop / IoT_reaper exploite un ensemble de vulnérabilités afférentes aux objets connectés. Ce vecteur de compromission plus évolué fait craindre aux chercheurs la constitution rapide d’un réseau d’objets connectés de taille très importante et donc une puissance d’attaque considérable, d’autant plus que de nouvelles vulnérabilités peuvent être ajoutées à l’arsenal déjà existant, renforçant ainsi la capacité du code malveillant à infecter de nouveaux équipements.
-
Le programme malveillant installé sur l’objet connecté contient un environnement d’exécution de scripts en langage interprété LUA permettant d’exécuter des codes arbitraires. Cette particularité donne la possibilité aux attaquants d’utiliser le réseau d’objets connectés zombies pour différents usages et offre donc une plus grande capacité d’action. Outre les attaques DDoS observées par le passé, notamment avec Mirai, IoTroop / IoT_reaper pourrait par exemple être exploité afin de distribuer des pourriels, miner de la cryptomonnaie ou servir de relais d’anonymisation.
Moyen de propagation
Une fois infecté, chaque équipement zombie du réseau recherche des objets vulnérables répondant à une liste d’adresses IP générées aléatoirement. Le code responsable de la génération des adresses est le même que celui utilisé par le code malveillant Mirai. La liste des ports utilisés au cours de cette recherche est disponible en annexe.
Les équipements ciblés sont majoritairement des routeurs, des caméras connectées et des enregistreurs vidéo (DVR).
Une fois une cible identifiée, le code malveillant envoie alors à un serveur de centralisation les informations collectées sur l’objet (type de matériel, adresse IP, identifiants de connexion) pour une compromission future.
Vulnérabilités et matériels ciblés
Les vulnérabilités exploitées jusqu’à présent par IoTroop / IoT_reaper et les matériels pouvant être vulnérables sont listés dans le tableau ci-dessous :
|
Constructeurs |
Modèles |
Références |
|
Go-Ahead |
Caméras WIFICAM |
https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html |
|
D-Link |
Routeurs DIR-300/DIR-600 |
http://www.s3cur1ty.de/m1adv2013-003 |
|
Routeurs DIR-645 |
http://roberto.greyhats.it/advisories/20130227 |
|
|
Routeurs 850L |
https://blogs.securiteam.com/index.php/archives/3364 |
|
|
Netgear |
Stockages ReadyNAS |
https://blogs.securiteam.com/index.php/archives/3409 |
|
Routeurs DGN1000 |
http://seclists.org/bugtraq/2013/Jun/8 |
|
|
Vacron |
Nombreux modèles de caméras |
https://blogs.securiteam.com/index.php/archives/3445 |
|
Linksys |
Routeurs E1500/E2500 |
http://www.s3cur1ty.de/m1adv2013-004 |
|
Avtech |
Nombreux modèles de caméras |
https://github.com/Trietptm-on-Security/AVTECH |
|
– |
Nombreux modèles d’enregistreurs vidéo (DVR) utilisant un serveur web Jaws |
https://www.pentestpartners.com/security-blog/pwning-cctv-cameras/ |
Cette liste n’est pas figée : de nouveaux codes d’exploitation peuvent être ajoutés au fur et à mesure des développements grâce à la capacité de mise à jour à distance du code malveillant.
Cœur du code malveillant
La charge du code malveillant s’exécute sur un objet connecté compromis ayant une architecture MIPS ou ARM.
Le rôle principal de la charge active est de télécharger des scripts LUA puis de les exécuter. Ces scripts permettraient notamment l’envoi des informations récupérées lors des recherches de vulnérabilités ainsi que la mise à jour à distance du code malveillant.
Le fonctionnement détaillé du code est toujours en cours d’analyse. Il existerait notamment des mécanismes permettant d’empêcher l’exécution de codes malveillants tiers ciblant les objets déjà infectés (identification de chaines de caractères connues). Les accès en cours sur le port TCP/23 seraient par ailleurs également terminés lors de l’exécution de IoTroop / IoT_reaper.
Impact potentiel
Jusqu’à présent, d’après les chercheurs, aucune attaque n’aurait été menée avec ce réseau d’objets connectés zombies IoTroop / IoT_reaper. Son but réel est donc pour l’heure inconnu, de même que l’étendue de ses véritables capacités.
Il s’agirait en effet d’un réseau en cours de développement et de constitution. Le nombre d’objets connectés compromis est pour l’heure inconnu et fluctuant. Selon les sources, il est évalué entre 10 000 et 30 000 objets, bien que certains chercheurs estiment qu’environ 2 millions d’objets connectés pourraient être vulnérables.
Recommandations
Au vu des impacts potentiels, le CERT-FR recommande la plus grande prudence lors de l’installation d’objets connectés. Il est fortement conseillé de ne pas exposer d’objets connectés sur Internet lorsque cela n’est pas nécessaire.
De même, des mises à jour régulières des logiciels embarqués sur ces équipements doivent être réalisées lorsqu’elles sont proposées par les constructeurs. Elles permettent de corriger les vulnérabilités exploitables par des attaquants.
ANNEXE : Indicateurs de compromission
|
Domaines |
|
|
hi8520.com |
|
|
hl852.com |
|
|
ha859.com |
|
|
cbk99.com |
|
|
bbk80.com |
|
|
bbk86.com |
|
|
Adresses IP |
|
|
222.112.82.231 |
|
|
27.102.101.121 |
|
|
162.211.183.192 |
|
|
198.44.241.220 |
|
|
38.27.102.18 |
|
|
23.234.51.91 |
|
|
Ports scannés |
|
|
Reconnaissance |
4135 14340 16671 20480 20736 20992 21248 21504 22528 |
|
Propagation |
80 81 82 83 84 88 1080 3000 3749 |
Sources
CHECK POINT – Article du 19 octobre 2017, New IoT botnet storm coming.
https://research.checkpoint.com/new-iot-botnet-storm-coming/
QIHOO 360 NETLAB – Article du 20 octobre 2017, IoT_reaper : a rappid spreading new IoT botnet.
http://blog.netlab.360.com/iot_reaper-a-rappid-spreading-new-iot-botnet-en/
KREBS ON SECURITY – Article du 23 octobre 2017, Reaper calm before the IoT security storm ?
https://krebsonsecurity.com/2017/10/reaper-calm-before-the-iot-security-storm/
QIHOO 360 NETLAB – Article du 25 octobre 2017, IoT_reaper : A few updates
https://blog.netlab.360.com/iot_reaper-a-few-updates-en/
THREAT POST – Article du 20 octobre 2017. ‘IOTroop’ Botnet Could Dwarf Mirai in Size and Devastation, Says Researcher.
NEWSKYSECURITY – Article du 24 octobre 2017, A Huge Wave of IoT Zombies Is Coming.
ARBOR NETWORKS – Article du 26 octobre 2017. Reaper Madness.
https://www.arbornetworks.com/blog/asert/reaper-madness/
Threat Post – Article du 25 octobre 2017. Hackers Prepping IOTroop Botnet with Exploits.
https://threatpost.com/hackers-prepping-iotroop-botnet-with-exploits/128608/
Radware – Article du 25 octobre 2017. Reaper Botnet.
https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/reaper-botnet/
Ars Technica – Article du 27 octobre 2017. Assessing the threat the Reaper botnet poses to the Internet—what we know now.
Checkpoint – Article du 29 octobre 2017. IoTroop Botnet: The Full Investigation.
https://research.checkpoint.com/iotroop-botnet-full-investigation/
CERT-FR – Bulletin d’actualité du 10 octobre 2016. Industrialisation de déni de service distribué, le cas particulier des objets connectés. Référence CERTFR-2016-ACT-041.
https://cert.ssi.gouv.fr/actualite/CERTFR-2016-ACT-041/
F5– Article du 26 octobre 2017 Reaper: The Professional Bot Herder’s Thingbot.
Rappel des avis émis
Dans la période du 23 au 29 octobre 2017, le CERT-FR a émis les publications suivantes :
- CERTFR-2017-ALE-016 : Campagne de rançongiciel Bad Rabbit
- CERTFR-2017-AVI-377 : Vulnérabilité dans Xen
- CERTFR-2017-AVI-378 : Vulnérabilité dans Citrix XenServer
- CERTFR-2017-AVI-379 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2017-AVI-380 : Multiples vulnérabilités dans Apache OpenOffice
- CERTFR-2017-AVI-381 : Multiples vulnérabilités dans PHP
- CERTFR-2017-AVI-382 : Vulnérabilité dans Google Chrome
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2017-AVI-374 : Multiples vulnérabilités dans le noyau Linux de SUSE
