Discussion :

[Coriolan]

BrickeBot : un botnet de Permanent Denial-of-service rend les objets connectés inopérants
Dans le but de stopper le botnet Mirai selon son auteur

Les attaques PDoS (Permanent Denial-of-service) sont devenues de plus en plus populaires cette année. Durant ce mois, l’Emergency Response Team de Radware a identifié un nouveau botnet conçu pour compromettre les objets connectés à Internet (IoT) et endommager leur espace de stockage. Pendant une période de quatre jours, le piège à malwares (honeypot) de Radware a enregistré 1895 attaques PDoS menées depuis plusieurs localisations dans le monde. Leur seul but a été de détruire les objets affectés pour les rendre inopérants.

Une dernière instance de BrickerBot.3 est apparue le 20 avril, soit un mois après BrickerBot.1. Comparée à la version originale, sa séquence de commandes est similaire, mais elle est plus efficace. BrickerBot.3 a permis de mener un nombre plus important d’attaques (1295 attaques en 15 heures seulement) et a eu recours à un script modifié qui a ajouté plusieurs commandes destinées à amplifier le choc de l’attaque. BrickerBot.1 avait quant à lui mené 1895 attaques en quatre jours. Radware a constaté également une quatrième vague d’attaques sur 90 cibles menées par BrickerBot.4.

Tout comme BrickerBot.1, les nouvelles variantes de BrickerBot s’attaquent aux objets connectés vulnérables tournant sous une version obsolète de serveurs SSH Dropbear (SSH-2.0-dropbear_0.51, SSH-2.0-dropbear_2013.58, et SSH-2.0-dropbear_2014.63). BrickerBot se charge alors de réécrire l’espace de stockage flash des périphériques avec des données aléatoires, ce qui les rend inopérants. Tout comme Mirai, BrickerBot s’appuie sur le port ouvert Telnet pour attaquer les objets connectés. Toutefois, il n’exploite pas ces objets pour mener des attaques DDos, mais plutôt pour affecter d’autres objets mal sécurisés et les rendre inopérants de façon permanente.

L'évolution du nombre de bots de BrickerBot.3 depuis le 20 avril (premières 12 heures)

BrickerBot : une solution pour écraser Mirai ?

Tout comme leurs prédécesseurs, les nouveaux botnets ciblent les mêmes objets connectés, les caméras et les lecteurs DVR qui tournent sous le paquet Linux BusyBox et ont accès à une interface Telnet ouverte avec le mot de passe par défaut inchangé. Ces cibles sont les mêmes prisées par Mirai, le botnet d’objets connectés qui a généré un nombre record d’attaques de déni de service lors de plusieurs occasions l’année dernière.

Le vendredi dernier, le site Bleeping Computer a publié une interview avec l’auteur présumé de BrickerBot. Ce dernier revendique avoir “briqué” plus de deux millions d’objets connectés depuis janvier dans le but de stopper Mirai et les autres botnets similaires. Le hacker qui agit sous le pseudo de Janit0r se présente comme éthique. Toutefois, les caractéristiques de BrickerBot qui rendent les objets affectés sans utilité font que le malware se range dans la même catégorie que les troyens bancaires et les ransomwares.

BrickerBot n’est pas le seul botnet qui cherche à stopper Mirai. La semaine dernière, des chercheurs ont découvert le malware Hajime capable de sécuriser des objets connectés visés par le malware Mirai également. Il aurait infecté au moins 10 000 objets connectés touchés par Mirai. Une fois installé, il bouche toutes les vulnérabilités exploitées par le malware.


Source : Radware

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Le malware Hajime est capable de sécuriser des objets connectés visés par le malware Mirai, mais pourrait également servir à des desseins funestes

[abriotde]

C'est une solution qui se justifie en dernier recours. Et les système non mis à jour de longue date ou ayant des accès très aisé (mot de passe par défaut) justifient une tel action. Même si la solution de "tout péter" est un peu exagérer.