roboto

Le botnet Roboto cible les serveurs Linux Webmin

Un nouveau botnet peer-to-peer nommé Roboto cible les serveurs Linux Webmin.

Le botnet cible une vulnérabilité d’exécution de code à distance (CVE-2019-15107) dans Webmin, un outil de configuration système pour les serveurs Linux. CVE-2019-15107 avait été patché en Août 2019 et peut être mitigé en mettant à jour vers Webmin 1.930 .

“Nous recommandons aux utilisateurs de Webmin de vérifier si ils sont infectés en jetant un œil au nom de fichier du processus et à la connexion UDP,” ont déclaré les chercheurs de NetLab 360 dans une analyse. “Il est recommandé de surveiller et de bloquer les IP, URL et noms de domaine liés au botnet Roboto.”

roboto

Les chercheurs ont découvert Roboto pour la première fois le 26 Août et le traque depuis 3 mois. Nous ne savons pas encore combien de serveurs Linux Webmin ont été ciblé. Cependant, la surface d’attaque est très importante, Webmin affirme avoir plus d’un millions d’installations dans le monde et selon Shodan, 232 000 serveurs sont vulnérables.

Mr. Roboto

Le botnet Roboto a sept fonctions: shell inversée (permettant aux hackers d’exécuter des commandes sur les bots infectés), des capacités de désinstallation, récupérer des informations sur le bot et le réseau sur lequel il est, exécuter des commandes sur le système, exécuter des fichiers chiffrés spécifiés dans les URL et lancer des attaques de déni de service distribué.

L’objectif principal de Roboto est inconnu, les chercheurs ont révélé:

“Le botnet Roboto a une fonctionnalité DDoS (déni de service distribué), mais il semblerait que le DDoS ne soit pas l’objectif principal. Nous n’avons repéré aucune attaque DDoS depuis que nous le surveillons.”

Après que Roboto ait ciblé leur honeypot, les chercheurs ont été capable d’analyser le téléchargeur associé au botnet et les modules du bot, ainsi que les modules qui scannent les vulnérabilités et le module de contrôle P2P. Après l’infection, le botnet collecte plus d’informations (y compris une liste de processus en cours et d’informations réseaux) à propos du bot infecté.

Un rare botnet P2P

En tant que botnet peer-to-peer (P2P), Roboto opère sans serveur command-and-control (C2). Les botnets P2P -y compris Hajime et Joanap- rendent plus compliqué la tâche des chercheurs ou des autorités car il n’y a pas de domaine centralisé ou de serveur à traquer.

Les botnets P2P créent des réseaux décentralisés d’appareils infectés ou de “bots” qui se parlent directement entre eux plutôt qu’en utilisant un serveur central.

“La longueur des paquets de requête est fixée à 69 octets, les données ne sont pas chiffrées et le contenu est la clé publique de la paire ciblée et la clé publique du bot,” ont expliqué les chercheurs. “Après avoir reçu la requête du bot, la connexion est établit et la clé partagée est ensuite calculée avec la clé publique.”

Roboto utilise aussi des algorithmes comme Curve25519, Ed25519, TEA, SHA256 et HMAC-SHA256 pour communiquer. Ces algorithmes permettent à Roboto “d’assurer l’intégrité et la sécurité de ses composants et du réseau P2P, créer le script de démarrage automatique de Linux et masquer ses noms de fichiers et de processus pour obtenir un contrôle persistant,” ont expliqué les chercheurs.

Ce n’est pas la première fois que les serveurs Linux sont ciblés par des botnets. Muhstik, par exemple, est actif depuis Mars 2018. Il a des capacités de propagation similaires aux vers, s’attaque aux serveurs Linux et aux appareils IoT, et lance des attaques DDoS ou des logiciels de minage de cryptomonnaie.

Si cet article vous a plu, jetez un œil à notre article précédent.