Découvrez Dark_nexus, probablement le botnet IoT le plus puissant de tous les temps – Serveur d’impression

Un botnet récemment découvert qui se nourrit de routeurs domestiques, d'enregistreurs vidéo et d'autres appareils connectés au réseau est l'une des plateformes Internet des objets les plus avancées jamais vues, ont déclaré mercredi des chercheurs. Sa liste de fonctionnalités avancées comprend la possibilité de masquer le trafic malveillant comme bénin, de maintenir la persistance et d'infecter les périphériques qui s'exécutent sur au moins 12 processeurs différents.

Les chercheurs du fournisseur d'antivirus Bitdefender ont décrit le soi-disant dark_nexus comme un «nouveau botnet IoT contenant de nouvelles fonctionnalités et capacités qui font honte à la plupart des botnets IoT et des logiciels malveillants que nous avons vus». Au cours des trois mois où Bitdefender l'a suivi, dark_nexus a subi 30 mises à jour de version, car son développeur a régulièrement ajouté plus de fonctionnalités et de capacités.

Significativement plus puissant

Le malware a infecté au moins 1 372 appareils, dont des enregistreurs vidéo, des caméras thermiques et des routeurs pour la maison et les petits bureaux fabriqués par Dasan, Zhone, Dlink et ASUS. Les chercheurs s'attendent à ce que davantage de modèles d'appareils soient affectés à mesure que le développement de dark_nexus se poursuit.

Se référant à d'autres botnets IoT, les chercheurs ont écrit dans un rapport: «Notre analyse a déterminé que, bien que dark_nexus réutilise du code Qbot et Mirai, ses modules de base sont pour la plupart originaux. Bien qu'il puisse partager certaines fonctionnalités avec des botnets IoT connus auparavant, la façon dont certains de ses modules ont été développés le rend beaucoup plus puissant et robuste. »

Le botnet s'est propagé à la fois en devinant les mots de passe administrateur courants et en exploitant les failles de sécurité. Une autre caractéristique qui augmente le nombre de périphériques infectés est sa capacité à cibler des systèmes qui s'exécutent sur une large gamme de processeurs, notamment:

• bras: ELF 32 bits exécutable LSB, ARM, version 1 (ARM), lié statiquement, dépouillé
• arm5: exécutable ELF 32 bits LSB, ARM, version 1 (ARM), lié statiquement, dépouillé
• arm6: exécutable ELF 32 bits LSB, ARM, EABI4 version 1 (GNU / Linux), lié statiquement, dépouillé
• arm7: exécutable ELF 32 bits LSB, ARM, EABI4 version 1 (GNU / Linux), lié statiquement, dépouillé
• mpsl: exécutable ELF 32 bits LSB, MIPS, MIPS-I version 1 (SYSV), lié statiquement, supprimé
• mips: exécutable MSF ELF 32 bits, MIPS, MIPS-I version 1 (SYSV), lié statiquement, supprimé
• i586: exécutable ELF 32 bits LSB, Intel 80386, version 1 (GNU / Linux), lié statiquement, dépouillé
• x86: exécutable LSF 64 bits ELF, x86-64, version 1 (SYSV), lié statiquement, supprimé
• spc: exécutable MSF ELF 32 bits, SPARC, version 1 (SYSV), lié statiquement, supprimé
• m68k: exécutable MSF 32 bits ELF, Motorola m68k, 68020, version 1 (SYSV), lié statiquement, dépouillé
• ppc: exécutable MSF ELF 32 bits, PowerPC ou Cisco 4500, version 1 (GNU / Linux), lié statiquement, dépouillé
• arc: ?
• sh4: exécutable ELF 32 bits LSB, Renesas SH, version 1 (SYSV), lié statiquement, supprimé
• rce:?

Le rapport de Bitdefender a déclaré que, bien que les modules de propagation dark_nexus contiennent du code ciblant les architectures ARC et Motorola RCE, les chercheurs n'ont jusqu'à présent pas pu trouver d'échantillons de logiciels malveillants compilés pour ces architectures.

Le principal objectif de dark_nexus est de mener des attaques de déni de service distribuées qui mettent des sites Web et d'autres services en ligne hors ligne en les inondant de plus de trafic indésirable qu'ils ne peuvent en gérer. Pour rendre ces attaques plus efficaces, le logiciel malveillant dispose d'un mécanisme qui fait que le trafic malveillant semble être des données bénignes envoyées par les navigateurs Web.

Une autre fonctionnalité avancée de dark_nexus confère au logiciel malveillant la «suprématie» sur tous les autres logiciels malveillants qui peuvent être installés sur des appareils compromis. Le mécanisme de suprématie utilise un système de notation pour évaluer la fiabilité de divers processus exécutés sur un appareil. Les processus connus pour être bénins sont automatiquement ajoutés à la liste blanche.

Les processus non reconnus reçoivent des scores pour certains types de traits. Par exemple, un processus qui a été supprimé lors de l'exécution – un comportement courant avec le code malveillant – reçoit un score de 90. Les exécutables dans des répertoires tels que «/ tmp /», «/ var /» ou «/ dev /» – un autre signe révélateur de malware: recevez un score de 90. Les autres traits reçoivent de 10 à 90 points. Tout processus qui reçoit 100 points ou plus est automatiquement tué.

Dark_nexus peut également tuer les processus de redémarrage, une fonctionnalité qui permet aux logiciels malveillants de fonctionner plus longtemps sur un appareil, car la plupart des logiciels malveillants IoT ne peuvent pas survivre à un redémarrage. Pour rendre les infections plus furtives, les développeurs utilisent des appareils déjà compromis pour fournir des exploits et des charges utiles.

Qui est Helios grec?

Les premières versions de dark_nexus contiennent la chaîne «@ greek.helios» lors de l'impression de leur bannière. Cette chaîne est également apparue dans la version 2018 de «hoho», une variante du logiciel malveillant Marai. Hoho et dark_nexus contiennent à la fois du code Mirai et Qbot. Les chercheurs de Bitdefender ont rapidement découvert que «grec helios» est le nom utilisé par une personne en ligne qui vend des logiciels malveillants IoT botnet et des services DDoS. Cette chaîne Youtube hébergée par un utilisateur nommé grec helios présente plusieurs vidéos faisant la promotion des logiciels malveillants et des services offerts.

Une vidéo, selon le rapport de mercredi, montre un ordinateur de bureau avec un raccourci vers une adresse IP qui, dès décembre dernier, figurait dans les journaux de pot de miel de Bitdefender en tant que serveur de commande et de contrôle dark_nexus. Ces indices et plusieurs autres ont conduit les chercheurs à soupçonner que cet individu était derrière dark_nexus.

Comme le montre la carte ci-dessus, les infections à dark_nexus sont les plus courantes en Chine, avec 653 nœuds détectés comme compromis. Les quatre pays suivants les plus touchés sont la République de Corée avec 261, la Thaïlande avec 172, le Brésil avec 151 et la Russie avec 148. Il y a 68 infections détectées aux États-Unis.

Avec la capacité d'infecter une large gamme d'appareils et un développeur motivé avec un calendrier de mise à jour ambitieux, il ne serait pas surprenant de voir ce botnet se développer dans les mois à venir.