Pour mener à bien leurs attaques, les cybercriminels s’adossent souvent à des botnets, un ensemble de machines infectées (PC, IoT, serveurs). Trustwave a essayé de déterminer la part de ces botnets dans le trafic web malveillant. Pour cela, l’éditeur a placé des leurres (honeypot) dans différents pays : la Russie, l'Ukraine, la Pologne, le Royaume-Uni, la Chine et les États-Unis « Grâce à cette répartition, nous avons pu recueillir un ensemble fiable d'informations sur les méthodes et les techniques utilisées par les attaquants et leurs botnet, et avoir une compréhension complète du paysage actuel des menaces», a déclaré l'éditeur. Cette recherche lui a permis de repérer l'exploitation dans la nature de quelques applications d'entreprise vulnérables spécifiques, notamment Forta GoAnywhere MFT, Microsoft Exchange, Fortinet FortiNAC, Atlassian Bitbucket et F5 Big-IP, exploitées quelques jours après la publication de PoC.
Entre décembre 2022 et mai 2023, Trustwave a analysé 38 000 IP uniques et téléchargé un peu plus de 1100 charges utiles associées à des tentatives d'exploitation. « Près de 19 % du trafic web total enregistré était malveillant, et les botnets étaient responsables de plus de 95 % du trafic web malveillant détecté », indique le rapport. L'objectif principal de ces attaques de botnets était de télécharger un shell web, autrement dit un script malveillant, afin d’obtenir un accès non autorisé à des sites web ou des serveurs compromis, et de permettre aux attaquants de mener d'autres actions contre les pots de miel de Trustwave en se faisant passer pour des victimes potentielles.
Les botnets Mozi, Kinsing et Mirai, parmi les plus offensifs
Une analyse plus approfondie a révélé que les botnets Mozi, Kinsing et Mirai étaient à l'origine de la quasi-totalité (95 %) de ces tentatives d'exploitation. Alors que Mozi représentait 73 % des réseaux de machines zombies utilisés, Mirai et Kinsing ont contribué à hauteur de 9 % et 13 % respectivement. « Ces familles de malwares bien connues servent surtout à l’exploration des vulnérabilités sur les terminaux connectés à Internet, rassemblés ensuite en botnets pour mener des attaques par déni de service distribué (DDoS) ou pour extraire des crypto-monnaies », indique l’étude.
Par exemple, les deux botnets Mozi et Mirai ont exploité des vulnérabilités IoT dans les routeurs Netgear, les enregistreurs numériques MVPower, les routeurs D-link et le SDK Realtek. Quant aux botnets Kinsing, ils ont tenté d'installer le mineur de crypto-monnaie XMRig dans des systèmes basés sur Linux en utilisant diverses vulnérabilités, notamment dans Apache HTTP Server, PHPUnit, ThinkCMF et ThinkPHP. « La méthode de répartition de nos leurres ne nous a pas permis d'examiner les actions ultérieures qu’auraient pu entreprendre les attaquants », précise aussi le rapport.