TheMoon

TheMoon: Le Botnet Offre ses Services

Un nouveau module permet à des personnes mal intentionnés de louer TheMoon et il est très probable que d’autres fonctionnalités soient ajouter.

TheMoon, un botnet IoT ciblant les routeurs des particuliers et les modems, entre dans une nouvelle phase. Un nouveau module a été ajouté et permet de louer le botnet pour permettre à ceux qui ont les moyens de l’utiliser comme un service.

Il y’a déjà eu des conséquences, selon CenturyLink Threat Research Labs, avec la détection d’une fraude à l’annonce vidéo qui utilise TheMoon sur un serveur pour impacter 19 000 URLs sur 2700 domaines sur une période de 6 heures. Il a aussi été utilisé pour des attaques de force brute etc…

TheMoon, c’est quoi?

TheMoon est un botnet à architecture modulaire qui est actif depuis 2014. Il cible les vulnérabilités dans les routeurs. Selon les chercheurs, il est capable d’exploiter les modems et les routeurs des marques Linksys, ASUS, MikroTik et D-Link. L’exploit le plus récent (Mai 2018) avait ciblé les routeurs GPON. Il se propage comme un vers, et contient pas loin de six exploits IoT.

Les chercheurs affirment que le nouveau module n’est déployé que sur les appareils MIPS, une architecture de microprocesseur que l’on trouve souvent sur les routeurs de particuliers et les modems. Cela permet à l’appareil compromis d’être utilisé comme un proxy SOCKS5. Il peut donc être utilisé malicieusement pour contourner les filtres internet ou cacher la source du trafic internet, permettant à l’auteur du botnet de vendre son réseau proxy au plus offrant.

Netlab 360 a documenté plusieurs modules de TheMoon qui peuvent agir comme des proxys de trafic sous les ordres d’un serveur command-and-control (C2) server.

Cette nouvelle itération est différente, selon CenturyLink. “Les précédents modules avec des fonctionnalités de proxy permettaient seulement au serveur C2 d’envoyer des requêtes proxys; le nouveau module permet à l’auteur du botnet de vendre son réseau proxy comme un service,” ont déclaré les analystes CenturyLink dans un article sur le botnet. “Le port du proxy semble être choisi au hasard parmi les numéros de ports supérieurs à 10 000 et il semblerait qu’il change plusieurs fois dans la journée. Initialement ce port était non-authentifié, permettant à n’importe qui de diriger du trafic à travers la machine infecté. En Avril 2018, ils ont changé leurs proxys pour pouvoir utiliser l’authentification.”

Dans la fraude d’annonce vidéo par exemple, les analystes de CenturyLink ont vu l’attaque enflé rapidement.

“Ce que l’on a pu constaté durant cette période de 6 heures c’est un opérateur tirant parti de TheMoon pour mener une fraude d’annonces vidéo. En gros le botnet donne l’impression que des milliers de personnes cliquaient sur les annonces vidéos,” a expliqué Benjamin. “Plus précisément, l’opérateur utilisait un seul serveur pour impacter 19 000 URLs sur 2700 domaines.”

TheMoon

CenturyLink a donc bloqué l’infrastructure TheMoon sur son réseau, en plus d’avoir alerté les autres propriétaire de réseaux. 

“Ceci étant dit, la menace des botnets IoT avec des fonctionnalités variées reste grande,” a noté Benjamin. “Il est probable que d’autres appareil seront ciblés dans le futur en ajoutant d’autres exploits.”

Si cet article vous a plu, jetez un œil à notre précédent article.

Laisser un commentaire