Autrefois utilisé pour harceler les joueurs de Minecraft et exploiter illégalement Dogecoin, le botnet de l'Internet des objets - un grand réseau collection de caméras domestiques intelligentes, de DVR, de routeurs et plus encore infectés par des logiciels malveillants - a depuis été transformée en une arme puissante par cybercriminels. Les pirates ont utilisé d'importantes quantités de données pour faire taire les journalistes, causer des centaines de millions de dégâts et fermer l'infrastructure Internet d'un pays entier.
Le contrôle de ce botnet en pleine expansion est passé de pirate informatique à pirate informatique au cours des dernières années, à mesure qu’il grandit et devient plus dangereux avec le temps. Voici comment la menace a évolué.
Il y a une chose que presque toutes les attaques sur l’Internet des objets ont en commun: elles exploitent toutes les paramètres de sécurité par défaut laxistes des appareils grand public.
L'un des premières histoires alarmantes sur l'IoT remonte à août 2013, lorsqu'un pirate informatique a obtenu un accès à distance à un moniteur pour bébé Foscam non sécurisé et a utilisé le micro bidirectionnel pour crier des obscénités à un enfant en bas âge. De nombreuses caméras restent non protégées et
sont facilement consultables en ligne.Parce que si peu de gens pensaient à sécuriser ces appareils – et parce que la sécurité était souvent une réflexion après coup pour les fabricants: les moniteurs infectés et les caméras de sécurité domestiques constituent l’épine dorsale du botnet IoT.
Ensemble, les caméras et les décodeurs (DVR) représentent 95 % des appareils utilisés dans les grandes attaques IoT. Les routeurs domestiques non sécurisés représentent 4 % supplémentaires.
Les pirates ont rapidement commencé à exploiter les vulnérabilités de l’IoT à des fins financières. Le Linux. Le ver Darlloz, identifié pour la première fois en novembre 2013, utilisait des routeurs et des décodeurs infectés pour extraire de l'argent virtuel.
UN Article ZDNET de mars 2014 rapporte que les escrocs ont généré 42 438 Dogecoins et 282 Mincoins grâce à ce stratagème, soit moins de 200 $ en valeur totale.
La donne sur les malwares IoT a encore changé en septembre 2014 avec la sortie du malware LizardStresser (BASHLITE). Il utilise des mots de passe courants tels que « mot de passe » et « 123456 » pour prendre le contrôle des appareils IoT via le bug Shellshock.
LizardStresser a augmenté la taille du botnet zombie IoT. En 2016, plus d'un million d'appareils (y compris les routeurs domestiques) avaient été infectés par une forme de malware BASHLITE.
Le botnet LizardStresser peut lancer des attaques par déni de service distribué (DDoS) à un débit de 400 Gbit/s.
Il a été utilisé contre des cibles allant des grandes banques aux fournisseurs de télécommunications en passant par les agences gouvernementales, ZDNET a signalé. LizardStresser a également été utilisé dans des attaques DDoS sur Xbox Live et PlayStation Network.
Avec la croissance du botnet IoT, les criminels ont imaginé une utilisation plus rentable: vendre des attaques DDoS au plus offrant. Fin 2014, un collectif de hackers appelé Lizard Squad a pris le contrôle du botnet IoT et a vendu l'accès à un outil de contrôle illégal.
Les serveurs privés Minecraft étaient des cibles populaires. Les propriétaires paieraient pour lancer des attaques DDoS coûteuses contre leurs concurrents, dans l’espoir d’attirer leurs clients vers un serveur prétendument plus sécurisé.
Alors que le contrôle du botnet IoT oscillait entre les pirates informatiques, un groupe de chapeaux blancs a tenté de sécuriser les appareils non protégés avec de « bons logiciels malveillants ». Sorti en novembre 2014, Linux. Wifatch infecte les appareils IoT, recherche et supprime les logiciels malveillants, puis ferme l'accès Telnet pour bloquer les futurs attaquants.
Chose intéressante, les pirates ont caché un message spécial dans leur code: « À tous les agents de la NSA et du FBI lisant mon courrier électronique: S'il vous plaît Demandez-vous si la défense de la Constitution américaine contre tous les ennemis, étrangers ou nationaux, vous oblige à suivre les principes de Snowden. exemple."
En août 2016, un pirate informatique se faisant appeler Anna Senpai a pris le contrôle quasi monopolistique du botnet IoT via son malware Mirai. Nommé d'après une série animée, Mirai supprime les infections IoT précédentes et remplace le code malveillant par le sien.
Comme d’autres logiciels malveillants IoT, Mirai exploite 60 noms d’utilisateur et mots de passe par défaut courants dans ses attaques. À son apogée, Mirai infectait 4 000 appareils IoT par heure.
Le l'attaque Mirai la plus connue aux États-Unis, le 21 octobre 2016. À cette date, une explosion DDoS record de 1,2 Tbit/s provenant de 100 000 appareils infectés a mis hors service les serveurs de Dyn, un fournisseur mondial de services de système de noms de domaine (DNS).
L’attaque a détruit un grand nombre de sites Web majeurs, notamment Netflix, Twitter, Amazon, CNN et bien d’autres.
À peu près au même moment, le botnet Mirai a ciblé l'expert en sécurité et blogueur Brian Krebs de KrebsOnSecurity.com avec une attaque DDoS massive de 623 Gbit/s. Il aurait été lancé en représailles à une histoire de Krebs qui a conduit à l'arrestation de deux adolescents israéliens.
En conséquence, Akamai a abandonné son soutien bénévole au site Web de Krebs, le coût de la défense contre les attaques s'élevant à plusieurs millions de dollars. Son site est désormais protégé par Le bouclier de projet de Google.
Dans un long article de blog, Krebs a désigné Paras Jha, étudiant à l'Université Rutgers, dans le rôle d'Anna Senpai, la personne qui serait à l'origine du ver Mirai qui a attaqué son site.
Selon Le rapport de Krebs, Jha a des connexions avec le racket de protection Minecraft DDoS. Pour sa part, Jha n'a pas été accusé d'un crime, bien qu'il ait été interrogé par le FBI concernant l'attaque.
Mais ce n'est pas tout. Le Mirai Botnet est également responsable de la destruction de l'ensemble de l'infrastructure Internet au Libéria. Attaque DDoS de novembre 2016.
Plus de 600 Gbit/s de données ont obstrué le seul câble sous-marin du pays, provoquant des interruptions de l'accès Internet du Libéria pendant deux semaines.
Le Le botnet Mirai attaqué le site Internet de Donald Trump à deux reprises, dimanche 11 novembre. 6 et encore le lundi 7 novembre. Lundi, le botnet a également lancé une attaque similaire contre le site Internet d'Hillary Clinton. Ni l’un ni l’autre n’a été mis hors ligne.
Une autre attaque préélectorale a visé une société de banque téléphonique, avec des effets négatifs sur les campagnes républicaine et démocrate.
Une menace IoT encore plus grande que Mirai a déjà été identifiée. Le 21 décembre 2016, le réseau Imperva Incapsula a été ciblé avec une explosion DDoS de 650 Gbit/s.
L'entreprise estime que l'attaquant, incapable de résoudre l'adresse IP de sa victime, a simplement lancé une attaque contre l'ensemble du réseau anti-DDoS pour parvenir à ses fins.
Comment pouvez-vous vous protéger, ainsi que les autres, contre ces attaques IoT ?
La première étape consiste à vous assurer que vos propres appareils ne se retrouvent pas pris dans un botnet. Modifiez les paramètres par défaut de vos routeurs, caméras d'accès à distance et autres appareils connectés à Internet. Assurez-vous également de mettre à jour le micrologiciel de vos appareils IoT.
Les fabricants d’appareils IoT, quant à eux, doivent eux-mêmes accorder davantage d’attention à la sécurité et mieux encourager les utilisateurs finaux à prendre cette mesure.