13 thingbots découverts au premier semestre 2018

1
98

Une nouvelle étude de F5 Labs révèle que les appareils IoT constituent la cible N°1 des pirates et observe un faible recul de Mirai.

Selon une nouvelle étude de F5 Labs, les appareils IoT représentent désormais les cibles d’attaque privilégiées des cybercriminels, devant les services Web/applicatifs et les serveurs de messagerie. D’après l’analyste Gartner, le nombre d’appareils IoT atteindra 20,4 milliards d’ici 20201, soit un taux de croissance record de 143 % sur trois ans.

« On compte déjà plus d’appareils IoT que d’habitants sur la planète, et ils se multiplient à un rythme largement supérieur au taux de croissance de la population mondiale. Les mesures de sécurité de plus en plus laxistes peuvent mettre des vies en danger, par exemple en cas de piratage d’appareils IoT reliés à un réseau cellulaire et offrant un point d’accès à des infrastructures critiques », explique Matthieu Dierick, Tech Evangelist chez F5 Networks.

Le cinquième volet du rapport The Hunt for IoT2 indique que treize thingbots3, susceptibles d’être cooptés par des pirates et intégrés à un botnet d’objets connectés en réseau, ont été découverts au premier semestre 2018. Six avaient été identifiés en 2017, et neuf en 2016.

Tendances en matière d’attaques

Au cours des 18 derniers mois, l’Espagne est le pays qui a subi le plus d’attaques, essuyant à elle seule 80 % du trafic surveillé lié à des attaques IoT entre le 1er janvier et le 30 juin 2018. Autres pays soumis à une pression constante : la Russie, la Hongrie, les États-Unis et Singapour.

La plupart des attaques enregistrées entre le 1er janvier et le 30 juin émanaient, dans 18 % des cas, du Brésil. Le deuxième grand coupable était la Chine (15 %), suivie par le Japon (9 %), la Pologne (7 %), les États-Unis (7 %) et l’Iran (6 %).

Les routeurs pour le home office/TPE, les caméras IP, les magnétoscopes numériques et les systèmes de vidéosurveillance figuraient parmi les appareils IoT les plus infectés (tel qu’établi par leur implication dans des bots).

Les attaques par déni de service distribué (DDoS, Distributed Denial of Service) restent la technique d’attaque la plus répandue. En 2018, cependant, les pirates ont commencé à adapter les thingbots sous leur contrôle et à englober d’autres tactiques, dont l’installation de serveurs proxy à partir desquels lancer des attaques, le cryptojacking, l’installation de nœuds Tor et de renifleurs de paquets, le piratage DNS, la collecte d’informations d’identification, l’utilisation massive et simultanée d’identifiants volés (« credential stuffing ») et les arnaques au cheval de Troie.

Pour découvrir et éventuellement infecter des appareils IoT, la méthode la plus couramment pratiquée par les attaquants consiste à analyser le trafic Internet mondial afin de trouver des services d’administration à distance ouverts. Les protocoles Telnet et Secure Shell (SSH) sont les plus populaires, devant Home Network Administration Protocol (HNAP), Universal Plug and Play protocols (UPnP), Simple Object Access Protocol (SOAP) et divers autres ports TCP (Transmission Control Protocol) utilisés par les appareils IoT. Les vulnérabilités et expositions courantes spécifiques des appareils IoT des différents fabricants constituent également des vecteurs d’attaques majeurs.

Si l’on en croit le rapport, il est de plus en plus à craindre que les infrastructures IoT, à savoir les serveurs et bases de données auxquels les appareils se connectent, ne soient « tout aussi vulnérables aux attaques par authentification via des informations d’identification faibles que les appareils IoT eux-mêmes. »

La dernière étude de F5 Labs montre que les passerelles IoT cellulaires sont aussi vulnérables que les appareils IoT Wi-Fi et filaires traditionnels. Jusqu’à 62 % des appareils testés sont vulnérables aux attaques d’accès à distance exploitant les informations d’identification par défaut insuffisamment sécurisées des fabricants. Ces appareils se comportent comme des réseaux hors bande, créant des portes d’accès dérobées au réseau, et sont dispersés à travers le monde.

Attaques via Telnet et à partir de nouvelles adresses IP

Le pic élevé de trafic d’attaque observé en mars 2018 a été suivi d’une baisse de 94 % du volume total d’attaques via Telnet entre le premier et le deuxième trimestre 2018. C’est un point très important. En effet, la fréquence des attaques Telnet baisse généralement lorsque les cybercriminels délaissent l’analyse de reconnaissance au profit d’attaques ciblées visant à créer des thingbots déployables.

Fait intéressant, les 50 principales adresses IP utilisées pour les attaques étaient nouvelles. Cela représente un grand changement par rapport aux quatre rapports précédents dans lesquels les mêmes adresses IP réapparaissaient régulièrement. D’après le rapport, c’est le signe soit de l’entrée en scène de nouveaux cybercriminels, soit que ceux déjà à l’œuvre se tournent vers de nouveaux systèmes. Autre évolution : l’introduction d’adresses IP d’attaque localisées en Iran et en Irak.

La plupart des attaques continuent d’émaner des réseaux des opérateurs de télécommunications et des fournisseurs de services Internet qui proposent des services Internet aux particuliers, petits bureaux et plus grandes entreprises. Cette tendance est la même depuis 18 mois et devrait se poursuivre. Les pirates louent généralement des systèmes auprès de centres d’hébergement pour la création initiale d’un botnet. Les appareils IoT infectés au sein des réseaux de télécommunications prennent ensuite le relais.

Mirai se maintient

Autre point important du rapport : le faible recul mondial de Mirai, thingbot d’attaque le plus puissant jamais observé à ce jour.

Le nombre de systèmes d’analyse Mirai dans le monde a légèrement baissé de décembre 2017 à juin 2018. Cependant, l’Europe reste la seule région dans laquelle les infections Mirai sont restées relativement stables de décembre 2017 à juin 2018.

Non seulement le bot originel n’a rien perdu de sa virulence, mais on dénombre au moins 10 variantes de Mirai (Annie, Satori/Okiru, Persirai, Masuta, Pure Masuta, OMG, SORA, OWARI, Omni et Wicked). De plus, les rejetons de Mirai ne se contentent pas de lancer des attaques DDoS : ils peuvent déployer des serveurs proxy, miner des crypto-monnaies et installer d’autres bots.

Des périodes de turbulence en perspective

« On compte plus de 8 milliards d’appareils IoT dans le monde, qui, pour la plupart, privilégient la facilité d’accès à la sécurité », explique Matthieu Dierick.

« Les entreprises doivent se préparer à l’impact, parce que les probabilités d’attaques IoT sont quasiment illimitées et la création de thingbots est un phénomène plus répandu que jamais. Malheureusement, il faudra sans doute attendre des pertes financières importantes pour les fabricants d’appareils IoT ou les entreprises qui implémentent ces dispositifs avant d’entrevoir des avancées significatives en matière de sécurité. Il est par conséquent essentiel de mettre en place des contrôles de sécurité capables de détecter les bots et d’évoluer au même rythme que les attaques de thingbots. Comme toujours, protéger le périmètre applicatif contre les bots constitue une mesure importante, tout autant que le déploiement d’une solution de protection évolutive contre les attaques DDoS. »

Les commentaires sont fermés.