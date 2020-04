L'éditeur de solutions de sécurité a découvert un nouveau botnet utilisé pour commettre des attaques DDoS contre des objets connectés.

[Mise à jour du 8 avril 2020 à 13h00] Dark Nexus serait un botnet encore plus puissant et robuste que Mirai. Les chercheurs de Bitdefender ont découvert ce nouveau bot en décembre 2019 et mettent en gardent contre sa propagation et sa dangerosité. Le virus, qui réutilise une partie du code des botnet Qbot et Mirai, serait régulièrement amélioré. En trois mois, les chercheurs de Bitdefender ont observé plus de 30 évolutions. Le hacker Greek.Helios, connu pour être l'auteur d'autres botnets, serait à l'origine du développement de Dark Nexus. Ce botnet serait capable de lancer des attaques DDoS, mais aussi d'exécuter d'autres logiciels malveillants. Il cible les appareils embarqués avec une architecture à 12 CPU, comme les routeurs ou les caméras connectées. Une fois qu'un IoT devient un bot, Dark Nexus tente de rester persistant sur le périphérique en empêchant le redémarrage.

Baptisé Dark Nexus en raison des chaînes imprimées sur sa bannière, ce botnet provient principalement d'Asie. Il a touché 1 372 appareils dans le monde, dont plus de 650 appareils en Chine, 261 en Corée et 172 en Thaïlande. Il utilise ensuite ces machines zombies pour en attaquer d'autres via le protocole Telnet. La meilleure protection contre les logiciels malveillants reste de modifier les informations d'identification administrative par défaut et de s'assurer que le logiciel des objets connectés est toujours à jour.

Pour bien comprendre le sujet des attaques contre l’IoT (Internet of Things), il est d’abord nécessaire de définir ce qu’est un botnet. Le terme botnet désigne un réseau de bots informatiques, autrement dit un ensemble de programmes connectés au web et communicant entre eux – ou avec d’autres programmes équivalents – afin d’effectuer certaines tâches. Aujourd’hui, le botnet est très souvent associé à un usage malveillant. Beaucoup l’emploient en effet pour inonder le web de spams, pour mener des opérations d’hameçonnage ou encore pour participer à des attaques de déni de service, que l’on nomme DDoS (voir plus bas). Pour d’autres, le botnet peut également avoir vocation à créer une fraude au clic, à trouver des mots de passe ou encore à miner des cryptomonnaies.

En 2016, toute la presse spécialisée et une partie de la presse généraliste ne parlaient que de ça : le botnet Mirai. Ce logiciel malveillant capable de transformer des ordinateurs fonctionnant sous Linux en bots contrôlés à distance est à l’origine d’une cyber-attaque à très grande échelle. À l’automne 2016, on découvre en effet qu'un ou plusieurs botnets Mirai ont été utilisés pour lancer l ’une des plus importantes attaques DDoS. Les cibles retenues : le site de sécurité informatique du journaliste Brian Krebs, l’hébergeur français de sites web OVH puis la société Dyn. Cette dernière attaque a d’ailleurs paralysé pendant plus d’une dizaine d’heures de nombreux sites et services, tels que Twitter, PayPal, AirBnB ou encore Netflix. Les experts sont parvenus à identifier le fonctionnement de Mirai : celui-ci repose sur la recherche permanente sur Internet des adresses IP qui correspondent à des objets connectés (IoT). Après avoir identifié les objets connectés vulnérables, Mirai s’y connectait pour y installer le logiciel malveillant.

Les attaques par déni de service distribuées (ou DDoS) définissent des attaques informatiques dont le but principal consiste à empêcher le bon fonctionnement d’un service. Dans la pratique, les attaques DDoS peuvent être menées pour empêcher l’accès des utilisateurs à un serveur web, pour rendre impossible la distribution de mails au sein d’une entreprise, etc. Avec le boom des objets connectés, les individus malveillants disposent de nouvelles armes pour mener leurs attaques DDoS. Il leur "suffit" en effet de prendre le contrôle de ces objets via les failles de leur système de sécurité pour déclencher ensuite une attaque de grande ampleur via un botnet.