publicité

Un botnet IoT infecte 100.000 routeurs pour envoyer du spam Hotmail, Outlook et Yahoo


Technologie : Ce botnet infecte les routeurs et les utilise pour relayer des connexions aux services de messagerie Web.

Un nouveau botnet composé d'environ 100.000 routeurs domestiques s'est développé en silence au cours des deux derniers mois. Les opérateurs du botnet semblent utiliser les routeurs infectés pour se connecter aux services de webmail et envoient très probablement des campagnes massives de spam par email.



Repéré pour la première fois en septembre par l'équipe de Netlab à Qihoo 360, le botnet exploite une vulnérabilité connue depuis cinq ans pour se propager.

La vulnérabilité a été découverte en 2013 par des chercheurs en sécurité de DefenseCode et réside dans le SDK UPnP de Broadcom, un logiciel qui a été intégré dans des milliers de modèles de routeurs de plusieurs fournisseurs. La vulnérabilité permet à un attaquant d'exécuter un code malveillant sur un routeur vulnérable distant sans avoir besoin de s'authentifier. Soit le pire type de vulnérabilité qui existe dans le monde des périphériques connectés à Internet.



Plusieurs botnets ont abusé de ce défaut dans le passé, mais Netlab a surnommé ce dernier botnet BCMUPnP_Hunter. Le nom vient des scans constants du botnet à la recherche de routeurs avec des interfaces UPnP exposées (port 5431).

Au cours des deux derniers mois, les chercheurs chinois disent avoir vu des scans BCMUPnP_Hunter provenant de plus de 3,37 millions d'adresses IP, mais le nombre de dispositifs actifs au quotidien se situe généralement autour de 100.000. Les victimes sont réparties assez uniformément à travers le monde, mais la plus grande concentration de routeurs infectés se trouve en Inde, en Chine et aux États-Unis.

Mais mis à part sa taille considérable, ce nouveau botnet est également différent de la grande majorité des botnets IoT actuellement actifs. La plupart des botnets d'aujourd'hui s'appuient sur un code source qui a été divulgué en ligne. BCMUPnP_Hunter est une toute nouvelle bête de ce point de vue.

"Nous n'avons pas trouvé de code similaire à l'aide des moteurs de recherche" explique Hui Wang, l'un des deux chercheurs de Netlab qui a analysé la source du botnet.



"Il semble que l'auteur possède des compétences approfondies et n'est pas un scénariste typique" a ajouté Hui. Dans un rapport technique, le chercheur souligne également le mécanisme complexe d'infection à plusieurs stades du botnet, qui est unique par rapport aux menaces existantes.

Selon Hui, une fois que BCMUPnP_Hunter a terminé ce processus d'infection en plusieurs étapes et a pris pied sur un périphérique vulnérable, il l'utilise pour traquer d'autres routeurs vulnérables. Mais il dit que le botnet cache aussi une fonction secondaire. Cette fonction secondaire permet au botnet d'utiliser les routeurs infectés comme nœuds de proxy et de relayer les connexions des opérateurs du botnet aux IP distantes.

Au moment d'écrire ces lignes, Hui a dit que tous les IPs que Netlab a observé sur lesquels se connecte BCMUPnP_Hunter sont des adresses IP appartenant à des services de webmail tels que Yahoo, Outlook, et Hotmail.

A lire aussi :

Internet des objets : OBS lance la technologie LTE-M en France

OBS annonce le lancement, en France, de son offre LTE-M pour les objets connectés (IoT) fonctionnant partout sur la 4G. Un...

Articles relatifs

Contenus sponsorisés

Contenus partenaires

Réagissez à l'article

Connectez vous ou Enregistrez-vous pour commencer la discussion
publicité