Une troisième variante du logiciel malveillant Aquabot basé sur Mirai prend apparemment le contrôle des téléphones Mitel pour créer un botnet contrôlé à distance qui peut lancer des attaques par déni de service distribué (DDoS). Selon la Security Intelligence and Response Team d'Akamai, le malware, baptisé Aquabotv3, exploite activement une vulnérabilité connue des terminaux pour accéder à leur fonction SIP ( protocole d'initiation de session). Il est intéressant de noter que cette variante présente une caractéristique unique et inédite (du moins dans Mirai) : elle signale lorsqu'elle est détectée.
L'équipe d'Akamai indique que le logiciel malveillant « présente un comportement qui n’avait jamais été observé auparavant avec Mirai » : quand le terminal infecté tente de supprimer le logiciel malveillant, sa fonction [report_kill] alerte le serveur de commande et de contrôle (C2). Cependant, les chercheurs ont précisé qu'ils n'avaient pas encore vu de réponse de la part du serveur C2. « Les attaques DDoS restent une menace omniprésente pour de nombreuses entreprises, et les botnets comme Aquabot en sont des acteurs clés », ont écrit Kyle Lefton et Larry Cashdollar, chercheurs en sécurité d'Akamai, dans un blog. « Pour un auteur de botnet novice, le retour sur investissement de Mirai est élevé. C’est l'une des familles de botnets les plus prospères au monde, et c'est aussi l'une des plus simples à modifier. »
Une caractéristique unique, mais pas nécessairement un avantage
Mirai a été conçu pour détourner objets connectés (IoT) afin de créer des botnets de contrôle à distance capables de lancer des attaques DDoS de grande ampleur. C’est le fournisseur d'antivirus Antiy Labs qui, en novembre 2023, a découvert Aquabot pour la première fois. La v3 exploite une vulnérabilité d'injection de commande référencée CVE-2024-41710, qui cible spécifiquement les téléphones des séries 6800, 6900 et 6900w de Mitel. Révélée pour la première fois à la mi-juillet 2024, cette vulnérabilité donne la capacité aux attaquants d'obtenir des privilèges d’administration et d'altérer les paramètres d'entrée afin d'accéder à des données sensibles pour exécuter ensuite des commandes arbitraires spécifiques au système. « Ces machines IoT sont souvent dépourvues de fonctions de sécurité appropriées, sont en fin de service ou fonctionnent avec des configurations et des mots de passe par défaut, soit par négligence, soit par manque de connaissance des risques », ont écrit les chercheurs d'Akamai.
Ces derniers font remarquer que, à première vue, le logiciel malveillant semble n'être qu'un « binaire du malware Mirai standard avec des fonctions d'attaque DDoS typiques ». Cependant, en y regardant de plus près, ils ont découvert une fonction qui envoie un signal lorsqu'elle détecte certaines actions de sécurité dans le téléphone infecté qui pourraient mettre fin à l’activité malveillante. Quand l'une de ces actions est identifiée, Aquabotv3 la capte, marque le malware comme étant « protégé » contre ce signal, puis prévient son C2. « Nous n'avons pas encore observé ce comportement dans une variante de Mirai, il est donc possible que cette fonctionnalité soit nouvelle », ont ajouté les chercheurs. La véritable raison de ce comportement n'est pas encore confirmée, mais il pourrait servir à surveiller la santé du botnet. Cette observation intentionnelle de l'activité défensive d'un terminal pourrait aussi être utilisée par les attaquants pour développer des « variantes plus furtives ». Enfin, elle pourrait également servir à détecter des réseaux de zombies concurrents actifs ou des campagnes de démantèlement. « Ce logiciel malveillant n'est pas particulièrement silencieux, ce qui pourrait lui être préjudiciable », soulignent Kyle Lefton et Larry Cashdollar.
La lutte persistante contre les attaques DDoS basées sur Mirai
Le nombre de variantes de Mirai est incalculable - les chercheurs en ont dénombré entre 7 et plus de 200 - mais les entreprises de cybersécurité font preuve de diligence pour les éradiquer. Il y a une semaine, par exemple, Cloudflare a déclaré avoir détecté le plus gros DDoS jamais enregistré, une attaque de 5,6 térabits par seconde (Tbps) lancée par une variante de Mirai. L’attaque visait un fournisseur d'accès à Internet asiatique et provenait de plus de 13 000 appareils IoT. Elle n'a duré que 80 secondes et a été rapidement identifiée et atténuée par les systèmes autonomes de Cloudflare. « Aucune intervention humaine, aucune alerte n’ont été nécessaires et il n’y a eu aucune dégradation des performances », a affirmé Cloudflare dans un blog la semaine dernière.
Dans un autre cas, les chercheurs de VulnCheck ont découvert que, depuis novembre 2024, les attaquants utilisaient le botnet Gayfemboy, basé sur le malware Mirai, pour attaquer des vulnérabilités précédemment inconnues dans les routeurs et des IoT domestisques. Il est clair que Mirai n'est pas près de disparaître, voire jamais, pas plus que les attaques DDoS. En fait, Cloudflare a signalé une augmentation de 53 % des menaces DDoS en 2024 par rapport à 2023 et une hausse considérable de 1 885 % des attaques dépassant 1 Tbps, appelées attaques DDoS « hyper-volumétriques », entre le troisième et le quatrième trimestre 2024.
Aquabot présenté comme un service DDoS en tant que tel
Les chercheurs d'Akamai ont découvert que les créateurs d'Aquabotv3 ont fait de la publicité pour le botnet en tant que service DDoS via des plateformes comme Telegram, sous différents noms, notamment Cursinq Firewall, The Eye Services et The Eye Botnet. Comme ils l’ont noté, les cybercriminels affirment généralement que le botnet n'est pas nuisible et qu'il est uniquement destiné à tester l'atténuation des attaques DDoS (ou « red teaming »). « Les acteurs de la menace prétendent qu'il s'agit simplement d'une preuve de concept (PoC) ou d'un outil pédagogique, mais une analyse plus approfondie montre qu'ils font de la publicité pour le DDoS en tant que service, ou que les propriétaires se vantent d'exploiter leur propre botnet », ont déclaré les chercheurs.
Quoi qu'il en soit, ces derniers ont souligné l'importance de sécuriser les terminaux IoT encore configurés avec des identifiants par défaut. Étant donné que de nombreux botnets s'appuient sur des bibliothèques de mots de passe communs pour l'authentification, il est important de vérifier les identifiants de connexion et de les modifier s'ils sont toujours configurés par défaut ou s'ils sont faciles à deviner. De plus, les équipes de sécurité doivent identifier où se trouvent les dispositifs IoT connus et « vérifier qu'il n'y a pas de dispositifs illégaux » parmi eux.
Commentaire