Dark Nexus, le nouveau botnet IoT découvert sur la toile

Des chercheurs en sécurité informatique ont découvert une nouvelle menace de botnet IoT nommée Dark Nexus. Cette nouvelle menace exploite les appareils intelligents pour lancer des attaques de “déni de service distribué”, potentiellement déclenchées à la demande via des plateformes qui louent des services DDoS.

Le botnet, nommé “dark_nexus(ou Dark Nexus)” par les chercheurs de Bitdefender, fonctionne en utilisant des attaques de bourrage d’informations d’identification contre une variété d’appareils, tels que des routeurs (de Dasan Zhone, Dlink et ASUS), des enregistreurs vidéo et des caméras thermiques, pour les les ajouter au botnet.

Jusqu’à présent, dark_nexus(ou Dark Nexus) contient au moins 1372 bots, agissant comme un proxy inverse et couvrant plusieurs emplacements en Chine, en Corée du Sud, en Thaïlande, au Brésil et en Russie.

“Bien qu’il puisse partager certaines fonctionnalités avec d’autres botnets IoT plus anciens, la façon dont certains de ses modules ont été développés le rend nettement plus puissant et robuste”, ont déclaré les chercheurs. “Par exemple, les payload sont compilés pour 12 architectures CPU différentes et livrées dynamiquement en fonction de la configuration de la victime.”

Les preuves recueillies par Bitdefender indiquent que Greek.Helios est à l’origine du développement de dark_nexus(ou Dark Nexus), qui est un auteur de botnet très connu et qui est tristement célèbre pour la vente de services DDoS sur les plateformes de réseaux sociaux et l’utilisation d’une chaîne YouTube pour faire connaître ses capacités.

Dark Nexus inspiré par les botnets Qbot et Mirai

Il y’a quelques similitudes entre dark_nexus (ou Dark Nexus) et les logiciels malveillants bancaires Qbot et Mirai mais les chercheurs de Bitdefender ont déclaré que ses modules de base sont “en grande partie originaux” et qu’il est fréquemment mis à jour, avec plus de 30 versions publiées entre Décembre 2019 et Mars 2020 (versions 4.0 à 8.6).

dark nexus

“Le code de démarrage du bot ressemble à celui de Qbot: il bifurque plusieurs fois, bloque plusieurs signaux et se détache du terminal”, ont expliqué les chercheurs.

“Ensuite, comme Mirai, il s’associe à un port fixe (7630), garantissant qu’une seule instance de ce bot peut s’exécuter sur l’appareil. Le bot tente de se déguiser en changeant son nom en ‘/bin/busybox.” Une autre fonctionnalité empruntée à Mirai est la désactivation du chien de garde par des appels ioctl périodiques sur le périphérique virtuel. “

L’infrastructure se compose de plusieurs serveurs de commande et de contrôle (C2) (switchnets[.]Net:30047 et thitccnigga[.]Me:30047), qui émettent des commandes à distance aux bots infectés et aux serveurs de rapports avec lesquels les bots partagent des détails sur les services vulnérables (par exemple, les appareils protégés par des mots de passe par défaut).

Une fois l’attaque par force brute réussie, le bot s’enregistre sur le serveur C2 en identifiant l’architecture du processeur de l’appareil afin de transmettre le payload d’infection personnalisé via Telnet, télécharger les binaires du bot et d’autres composants malveillants à partir d’un serveur d’hébergement (switchnets[.]Net:80 ) et les exécuter.

De plus, certaines versions du botnet (4.0 à 5.3) sont équipées d’une fonction de proxy inverse qui permet à la victime d’agir en tant que proxy pour le serveur d’hébergement, ordonnant ainsi au périphérique infecté de télécharger et stocker localement les exécutables nécessaires au lieu d’avoir à se connecter au serveur d’hébergement central.

Ce n’est pas tout. dark_nexus(ou Dark Nexus) est distribué avec des commandes de persistance qui empêchent le redémarrage de l’appareil en arrêtant le service cron et en supprimant les privilèges des services qui pourraient être utilisés pour redémarrer l’appareil en question.

dark nexus

“Il utilise également une technique destinée à garantir la ‘suprématie’ sur le périphérique compromis”, a observé Bitdefender.

“De manière unique, dark_nexus utilise un système de notation basé sur des pondérations et des seuils pour évaluer les processus susceptibles de présenter un risque. Cela implique de maintenir une liste des processus sur liste blanche ainsi que leurs PID (identifiant de processus), et de tuer tous les autres processus suspects qui franchissent un seuil (supérieur ou égal à 100).”

Vos appareils IoT sont ciblés

Le botnet Mirai, depuis sa découverte en 2016, a été lié à un certain nombre d’attaques DDoS à grande échelle. Depuis lors, de nombreuses variantes de Mirai ont vu le jour, en partie à cause de la disponibilité de son code source sur Internet.

Les auteurs de botnet ont également organisé des attaques par force brute sur des sites WordPress pour insérer le cheval de Troie bancaire Qbot et distribuer d’autres logiciels malveillants.

Le fait que dark_nexus (ou Dark Nexus) soit construit sur les fondations de Mirai et Qbot est la preuve de l’évolution des tactiques des opérateurs de botnet et des pirates inexpérimentés, leur permettant d’ajouter de nouvelles fonctionnalités en exploitant une variété de vulnérabilités dans les appareils IoT mal sécurisés et d’amasser des armées de botnet modernes.

“En utilisant des vidéos YouTube faisant la démonstration de certains de ses travaux passés et en publiant des offres sur divers forums cybercriminels, greek.Helios semble avoir une expérience des compétences des logiciels malveillants IoT, les affinant au point de développer le nouveau botnet dark_nexus”, ont conclu les chercheurs de Bitdefender.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x