Selon des chercheurs en sécurité de Cado Labs, un groupe de cybercriminels se faisant appeler Diicot effectue des attaques massives par force brute et déploie une variante du botnet Mirai IoT sur des terminaux compromis. Le cybergang déploie également une charge utile de minage de crypto-monnaies sur des serveurs dotés d'un processeur de plus de quatre cœurs. « Bien que Diicot soit traditionnellement associé à des campagnes de cryptojacking, Cado Labs a découvert des preuves du déploiement par le groupe d'un agent de botnet basé sur Mirai, nommé Cayosin », ont déclaré les chercheurs de Cado Security dans une analyse de la campagne d'attaque récente et en cours du groupe. « Le déploiement de cet agent visait les routeurs utilisant le système d'exploitation OpenWrt basé sur Linux et destiné aux dispositifs embarqués ».
Diicot existe depuis au moins 2021 et s'appelait auparavant Mexals. Les chercheurs ont de fortes raisons de penser que le groupe est basé en Roumanie après avoir enquêté sur des chaînes de caractères trouvées dans ses charges utiles de logiciels malveillants, ses scripts et ses messages contre des groupes de pirates informatiques rivaux. Même son nouveau nom imite l'acronyme du Directorate for Investigating Organized Crime and Terrorism (DIICOT), un organisme roumain chargé de l'application de la loi qui, dans le cadre de son mandat de lutte contre le crime organisé, enquête également sur la cybercriminalité et engage des poursuites.
Des campagnes malveillantes au long cours
Lors des campagnes précédentes, documentées pour la première fois par l'éditeur d'antivirus Bitdefender en 2021, le groupe s'est principalement concentré sur le cryptojacking, une pratique consistant à détourner la puissance de calcul pour le minage de crypto-monnaies. Le groupe avait l'habitude de cibler les serveurs Linux dont les identifiants SSH étaient faibles en utilisant des scans de masse personnalisés et centralisés et des scripts de force brute essayant différentes combinaisons de noms d'utilisateur et de mots de passe. Si un serveur était compromis avec succès, le groupe déployait une version personnalisée du logiciel open source XMRig pour miner du Monero.
Les campagnes malveillantes se sont poursuivies, mais au début de l'année, des chercheurs d'Akamai ont noté le changement de nom du groupe et la diversification de sa boîte à outils d'attaque, avec l'ajout d'un ver SSH écrit en Golang et le déploiement d'une variante de Mirai appelée Cayosin. Mirai est un botnet qui se propage de lui-même et qui est conçu pour infecter les dispositifs de réseau intégrés. Il est apparu en 2016 et a été responsable de certaines des plus grandes attaques DDoS observées à l'époque. Le code source du botnet a ensuite été publié en ligne, ce qui a permis aux cybercriminels de développer de nombreuses autres variantes améliorées sur cette base.
Une série d'outils malveillants sur-mesure
La campagne d'attaque étudiée par Cado Security utilise un grand nombre des tactiques documentées par Bitdefender et Akamai et semble avoir commencé en avril 2023, lorsque le serveur Discord utilisé pour la commande et le contrôle a été créé. L'attaque commence par l'outil de force brute SSH Golang que le groupe appelle aliases. Celui-ci prend une liste d'adresses IP cibles et de paires nom d'utilisateur/mot de passe, puis tente de forcer l'authentification. Si le système compromis exécute OpenWRT, un système d'exploitation open source basé sur Linux pour les périphériques réseau tels que les routeurs, les attaquants déploieront un script appelé bins.sh qui est responsable de la détermination de l'architecture du processeur du périphérique et du déploiement d'un binaire Cayosin compilé pour cette architecture sous le nom cutie. Si le système n'utilise pas OpenWRT, aliases déploie l'une des nombreuses charges utiles binaires Linux créées à l'aide d'un outil open source appelé shell script compiler (SHC) et emballées avec UPX. Toutes ces payload servent de chargeurs de malware et préparent le système au déploiement de la variante XMRig.
L'une des charges utiles SHC exécute un script bash qui vérifie si le système dispose de quatre cœurs de processeur avant de déployer XMRig. Le script modifie également le mot de passe de l'utilisateur sous lequel il est exécuté. Si l'utilisateur est root, le mot de passe est fixé à une valeur codée en dur, mais si ce n'est pas le cas, celui-ci est généré dynamiquement à partir de la date actuelle. Le payload intègre également un autre exécutable SHC appelé .diicot ajoutant une clé SSH contrôlée par l'attaquant à l'utilisateur actuel afin de garantir un accès futur et de s'assurer que le service SSH est en cours d'exécution et enregistré en tant que service. Le script télécharge ensuite la variante personnalisée de XMRig et l'enregistre sous le nom Opera avec son fichier de configuration. Il crée également un script cron pour vérifier et relancer le processus Opera s'il n'est pas en cours d'exécution. L'outil de payload récupère un autre exécutable SHC « update » qui met en place l'outil de force brute de l'alias sur le système, et une copie du scanner de réseau Zmap sous le nom « chrome ». L'exécutable update diffuse également un script shell appelé « history » exécutant lui-même la mise à jour et créant ensuite un script cron garantissant que les exécutables history et chrome sont exécutés sur le système.
Des outils qui ne se limitent pas au cryptojacking
Le scanner chrome Zmap est exécuté sur un bloc réseau généré par l'outil de mise à jour et enregistre les résultats dans un fichier appelé bios.txt. Les cibles de ce fichier sont ensuite utilisées par des alias pour effectuer des attaques SSH par force brute avec une liste de noms d'utilisateur et de mots de passe que l'outil de mise à jour génère également. « L'utilisation de Cayosin démontre la volonté de Diicot de mener une variété d'attaques (pas seulement du cryptojacking) en fonction du type de cibles qu'ils rencontrent », ont déclaré les chercheurs du Cado. « Cette découverte est cohérente avec les recherches d'Akamai, ce qui suggère que le groupe continue d'investir des efforts d'ingénierie dans le déploiement de Cayosin. Ce faisant, Diicot a acquis la capacité de mener des attaques DDoS, car c'est l'objectif principal de Cayosin d'après les rapports précédents ».
Face à ces menaces, les entreprises devraient s'assurer qu'elles mettent en œuvre un renforcement de leurs connexions SSH pour leurs serveurs. Cela signifie utiliser une authentification par clé plutôt que par mot de passe et utiliser des règles de pare-feu pour restreindre l'accès SSH aux seules adresses IP de confiance. Selon les chercheurs, la détection d'un scan Diicot à partir d'un système devrait être simple au niveau du réseau, car il est assez bruyant.