La guerre des malwares fait rage. Après Mirai à l'origine de la gigantesque attaque par déni de service débutée en octobre dernier - avec un pic allant jusqu'à 665 gigabits par seconde - rendue possible par l'infection d'une armée d'équipements connectés en réseau (botnet), place à Leet. Découvert par des chercheurs de la société spécialisée en solutions et services de sécurité Imperva Incapsula, ce malware apparait tout aussi sinistre prédécesseur.
Dans un billet de blog, Avishay Zawozni et Dima Bekerman révèlent en effet avoir découvert l'existence le 21 décembre d'une gigantesque attaque par déni de service (DDoS). « Juste 10 jours avant la fin de l'année, nous avons trouvé une attaque DDoS atteignant 650 gigabits par seconde, le plus grand record jamais enregistré sur notre réseau », expliquent les deux chercheurs d'Imperva Incapsula. S'il ne semble pas égalé le record des botnets Mirai, Leet fait quand même très fort.
Evolution du volume de l'attaque DDoS Leet enregistrée sur le réseau d'Imperva Incapsula le 21 décembre 2016. (crédit : Imperva Incapsula)
Une seconde salve d'attaque DDoS de 17 minutes
Dans le détail, on apprend que l'attaque a débuté le 21 décembre à 10h55, ciblant des périphériques IP enregistrés sur le réseau d'Imperva Incapsula. « Le première attaque DDoS a duré une vingtaine de minutes atteignant un pic de 400 Gbps », expliquent les chercheurs. « Echouant à percer, un second round a été préparé pour laisser le temps au botnet de se muscler et générer un flux DDoS de 650 Gbps de plus de 150 millions de paquets par seconde (Mpps). » Cette seconde salve a duré près de 17 minutes. Comme l'expliquent les chercheurs d'Imperva Incapsula, des indices ont été disséminés dans le header des options TCP des paquets malveillants afin de révéler le nom donné au malware - Leet - à l'origine de l'infection des ordinateurs zombies organisés en botnets.
Leet a de quoi inquiéter la planète IT, et il s'agit bien là d'un malware différent de Mirai et en aucun cas une de ses variantes. Contrairement à Leet, Mirai n'est, d'après Imperva Incapsula, pas conçu pour porter de larges attaques SYN, comporte des options TCP non présentes dans les paquets de l'attaque Leet, sachant que les charges Mirai sont générées depuis des chaînes aléatoires, contrairement à l'attaque du 21 décembre avec des charges structurées depuis le contenu des systèmes de fichiers. « Avec 650 Gbps sous la ceinture, le botnet Leet est le premier à rivaliser avec les exploits de Mirai. Cependant, il ne sera pas le dernier. Cette année nous avons vu une escalade d'attaques DDoS atteindre des records et ces puissants botnets ne sont rien de moins que le haut de l'iceberg. »
..."puissants botnets ne sont rien de moins que le haut de l'iceberg."...
Signaler un abusLe même que celui qui a coulé le Titanic ?