Il y a quelques jours à peine, Geektimes a
publié des informations sur le ver Reaper et le botnet du même nom. Dans une certaine mesure, Reaper est le
successeur de Mirai , le ver qui a frappé plusieurs dizaines de milliers d'appareils IoT l'année dernière. Ensuite, à l'aide de ces appareils, combinés en un seul système, de puissantes attaques ont été lancées contre des fournisseurs de services d'hébergement, des organisations bancaires et même des serveurs privés.
Il se pourrait bien que Reaper soit plus dangereux que Mirai, bien que les experts se disputent encore à ce sujet. La portée et les capacités du nouveau botnet sont désormais mieux connues qu'auparavant grâce aux activités de plusieurs organisations travaillant dans le domaine de la sécurité de l'information. Les spécialistes de ces sociétés étudient attentivement les capacités du ver et du botnet, publiant régulièrement les données reçues sur le réseau.
Certains faits obtenus lors de l'étude du botnet suggèrent que Reaper a été créé par des amateurs qui ne s'attendaient pas à ce que leur création frappe autant d'appareils à travers le monde. Par «amateurs», nous ne voulons pas du tout dire que les créateurs du système sont nouveaux dans le domaine du développement logiciel. Mais cette équipe (ou une seule personne?) N'est clairement pas trop expérimentée dans le développement de logiciels malveillants et la création de botnets. Par exemple, ce ver ne protège pas les appareils déjà infectés contre d'autres logiciels malveillants. Ceci est plutôt inhabituel pour les logiciels de formation de réseaux de zombies. Dans le même temps, Reaper peut rechercher des appareils Mirai infectés et également les infecter (c'est à peu près la même chose que Mirai avec son propre prédécesseur - Qbot).
Ampleur de la catastrophe
Maintenant, la chose la plus importante est la taille du botnet. Les spécialistes de Check Point, qui ont été les premiers à remarquer Reapth,
pensent que le malware a infecté des centaines de milliers d'appareils à travers le monde (il est possible que nous parlions d'un million d'appareils IoT). Cela met immédiatement ce botnet au premier plan - si l'évaluation est vraiment correcte, alors Reaper n'a pas d'égal.
Check Point a détecté environ 30 000 gadgets infectés. Selon les représentants de cette entreprise, les «victimes» IoT détectées ne représentent qu'une fraction du nombre total de systèmes affectés par le ver. Les représentants de la société affirment que s'il est extrapolé, il est tout à fait possible de parler d'un million de "zombies IoT" ou même plus. Il n'y avait pas un tel nombre de périphériques infectés intégrés dans un seul ensemble.
Certes, il y a d'autres opinions. Ils sont exprimés par des représentants d'autres sociétés, faisant valoir que le nombre d'appareils infectés ne peut atteindre 1 million, remettant en cause les mots Check Point. En général, le botnet n'est toujours pas bien compris, il y a donc vraiment place à l'erreur.
La société chinoise de cybersécurité Netlab 360, qui a également fait un reportage sur Reaper,
affirme qu'à l'heure actuelle, le nombre d'appareils infectés est de dizaines de milliers, mais pas de centaines, et surtout pas d'un million. Dans son dernier rapport, la société a annoncé 28 000 bots infectés. Les représentants d'Arbor Networks sont d'accord avec leurs collègues chinois. Cependant, la plupart des experts en cybersécurité conviennent que le ver Reaper est extrêmement dangereux et peut infecter une multitude d'appareils en peu de temps.
Temps d'attaque - Inconnu
Le malware agit de la même manière que ses prédécesseurs - il analyse les gadgets connectés au réseau IoT et identifie ceux qui sont vulnérables. Il y en a beaucoup, car les fabricants, malheureusement, ne s'efforcent pas du tout de résoudre rapidement les problèmes de sécurité réseau de leurs gadgets. Dans le même temps, Reaper n'est pas très rapide. Peut-être parce que le composant attaquant du malware n'a pas la capacité d'attaquer rapidement ses victimes. Ou peut-être parce que les créateurs du botnet l'ont spécifiquement rendu moins agressif afin de rendre plus difficile la détection de la cybersécurité.
Le plus intéressant est que, contrairement à de nombreux autres programmes malveillants qui forment des botnets, Reaper «meurt» lorsque l'appareil est redémarré. Autrement dit, le nombre réel d'appareils infectés est en constante évolution. Certains appareils IoT redémarrent assez souvent; en conséquence, la «volatilité» du botnet est très importante.
Selon Radware, le ver Reaper infecte chaque jour 200 à 500 appareils différents. Il faut un ver d'une demi-heure à une heure et demie pour infecter un gadget. L'année dernière, la même entreprise a assisté à la prolifération de Mirai. Il a touché un appareil en seulement deux minutes. Les experts en sécurité réseau disent que, à en juger par le nombre de vulnérabilités des systèmes IoT utilisés par le ver, seuls environ 350 000 appareils dans le monde sont disponibles pour l'infection. Ce n'est qu'une hypothèse qui contraste avec les notes des autres sociétés, mais elle mérite le droit à la vie.
Pourquoi tout cela?
Un autre point est que les intentions des créateurs de Reaper ne sont pas claires. La principale chose à retenir est que jusqu'à présent il n'y a eu aucune tentative de mener une attaque DDoS. La raison pour laquelle ce botnet a été créé est inconnue.
De plus, les serveurs de contrôle de botnet utilisent des noms statiques et des adresses IP. Et cela rend la tâche de bloquer ces serveurs facile. D'autres réseaux de zombies sont beaucoup plus dangereux à cet égard. Par exemple, Hajime est
beaucoup plus difficile à frapper ou à désarmer . Il utilise plusieurs adresses BitTorrent en même temps afin de changer le hachage ou «empreinte digitale», ce qui se produit littéralement tous les jours.
Il n'y a pas si longtemps, des vers ont été créés qui «parasitent» les appareils déjà infectés. Certains de ces vers attaquent le «locataire» du système et l'éliminent. Comment fonctionne le système? Ce n'est pas clair avant la fin. Néanmoins, il est devenu clair que si le botnet formé est néanmoins formé, il sera beaucoup plus facile de le traiter qu'avec d'autres systèmes logiciels de ce type.
Qui sait, peut-être que toutes ces «erreurs» apparentes ne sont que le désir des créateurs du malware de rendre leur idée moins dangereuse aux yeux des experts que leurs prédécesseurs. En un jour, tout peut changer - les créateurs du botnet donneront une commande, puis nous verrons la transformation de ce système en quelque chose de beaucoup plus dangereux qu'il ne l'est actuellement.
Comme indiqué précédemment, il est possible que Reaper n'ait pas été créé du tout pour les attaques DDoS. Il pourrait être conçu pour d'autres besoins. Il existe de nombreuses opportunités, de l'extraction de crypto-monnaie (bien que vous ne puissiez pas en exploiter beaucoup sur les systèmes IoT) à la création d'un type différent de réseau informatique distribué. L'extraction de bitcoins était, par exemple, une option du
cheval de
Troie ELF Linux / Mirai avec un bloc de crypto-monnaie ajouté. Le nombre de pièces qu'un appareil IoT peut extraire est ridicule, nous parlons des millionièmes parties d'une unité de crypto-monnaie. Mais si des millions d'appareils sont combinés dans un botnet, cela fonctionnera un peu.
Soit dit en passant, il a été dit plus tôt que le botnet analyse le réseau pour les appareils qui sont soumis aux vulnérabilités suivantes:
Après la mise à jour de Reaper, la dixième vulnérabilité à laquelle les appareils D-Link DIR-645 sont affectés a été ajoutée à cette liste. De plus, le malware pourrait bientôt ajouter un exploit pour la
vulnérabilité CVE-2017-8225 . Plus de cent mille appareils IoT sont concernés par cette vulnérabilité, la plupart sont des caméras avec le module logiciel WIFICAM.
Les représentants de la société F5 pensent que si les développeurs de botnet ajoutent quelques vulnérabilités supplémentaires, le malware peut infecter non pas des dizaines de milliers, mais des millions d'appareils - plus de 3,5 millions. L'avantage du nouveau botnet est qu'il a
un mécanisme de mise à jour , contrairement à Mirai. Autrement dit, les développeurs peuvent ajouter presque n'importe quelle fonction à leur discrétion, à tout moment.
Le pire, c'est que les développeurs utilisent le
langage de programmation
Lua , qui vous permet d'utiliser Reaper non seulement pour les DDoS, mais pour un éventail de tâches beaucoup plus large.
Il est également possible que Reaper ne commence pas à infecter des millions d'appareils, mais un autre botnet, dont les créateurs prendront comme base les exploits qui sont à la base de Reaper. Quoi qu'il en soit, la menace d'activation du botnet est désormais très élevée, et personne ne peut prédire ce que Reaper fera après le «réveil».