Un ver informatique ciblerait les appareils bass sur les systmes d’exploitation Linux depuis au moins l’anne dernire. Il serait une version personnalise de Mirai, un botnet qui infecte les serveurs, les routeurs, les camras Web et d’autres dispositifs de l’Internet des objets bass sur Linux. Cette nouvelle variante de Mirai a t baptise « Noabot » par les chercheurs en cyberscurit qui l’ont dcouvert. Une fois que les dispositifs sont compromis, le nouveau ver installe un logiciel de minage de cryptomonnaies qui prend des mesures inhabituelles pour dissimuler son fonctionnement interne. Le ver serait jusqu’ici inconnu et les appareils infects s’tendraient au monde entier.
Au fur et mesure que les entreprises augmentent leurs dpenses en scurit pour protger leurs infrastructures et pour les rendre plus rsilientes aux cyberattaques, les acteurs de la menace innovent et dploient de nouvelles techniques d’attaques. Les dispositifs Linux sont confronts la menace d’un logiciel malveillant jusque-l inconnu qui pourrait avoir infect des milliers d’quipements dans le monde. Des chercheurs de la socit Akamai, spcialise dans la scurit et la fiabilit des rseaux, ont rvl l’existence de Noabot, un logiciel malveillant bas sur le ver Mirai, qui cible les appareils Linux depuis au moins le mois de janvier 2023.
Mirai est un logiciel malveillant qui transforme des ordinateurs utilisant un systme d’exploitation Linux en bots contrls distance. Il forme ainsi un botnet qui est utilis pour raliser des cyberattaques grande chelle sur les rseaux informatiques. Mirai s’est fait connatre en 2016 lorsqu’il a t utilis pour mener des cyberattaques par dni de service distribu (DDoS) d’une ampleur record et qui ont paralys des pans importants d’Internet cette anne-l. Les crateurs ont rapidement publi le code source sous-jacent, ce qui a permis un large ventail de groupes criminels du monde entier d’intgrer Mirai dans leurs propres campagnes d’attaque.
Une fois qu’il s’est empar d’un appareil Linux, Mirai l’utilise comme plateforme pour infecter d’autres appareils vulnrables, une conception qui en fait un ver, c’est–dire qu’il se rplique. Traditionnellement, Mirai et ses nombreuses variantes se propagent lorsqu’un appareil infect scrute Internet la recherche d’autres appareils acceptant les connexions Telnet. Les appareils infects tentent ensuite de dchiffrer le mot de passe Telnet en devinant les paires d’identifiants par dfaut et les paires d’identifiants couramment utilises. S’ils y parviennent, les appareils nouvellement infects ciblent leur tour d’autres appareils en utilisant la mme technique.
Mirai a t principalement utilis pour mener des attaques DDoS. tant donn l’importance de la bande passante dont disposent de nombreux appareils de ce type, les flux de trafic indsirable sont souvent normes, ce qui confre au botnet une puissance considrable. Cependant, NoaBot ne cible pas les mots de passe Telnet faibles, mais les mots de passe faibles reliant les connexions SSH. Autre nouveaut : au lieu d’effectuer des attaques DDoS, il installe un logiciel de minage de cryptomonnaies, qui permet aux acteurs de la menace de gnrer des pices numriques en utilisant les ressources informatiques, l’lectricit et la bande passante des victimes.
Le mineur de cryptomonnaies install est une version modifie de XMRig, un autre logiciel malveillant open source. Plus rcemment, NoaBot a t utilis pour diffuser P2PInfect, un ver distinct que des chercheurs de Palo Alto Networks ont rvl en juillet dernier. Akamai surveille NoaBot depuis 12 mois dans un pot de miel qui imite de vrais dispositifs Linux afin de suivre les diverses attaques qui circulent dans la nature. ce jour, les attaques proviennent de 849 adresses IP distinctes, dont la quasi-totalit hberge probablement un appareil dj infect. L’image ci-dessus montre le nombre d’attaques transmises au pot de miel au cours de l’anne coule.
premire vue, NoaBot n’est pas une campagne trs sophistique. Il s’agit « simplement » d’une variante de Mirai et d’un mineur de cryptomonnaie XMRig, qui sont monnaie courante de nos jours. Toutefois, les obscurcissements ajouts au logiciel malveillant et les ajouts au code source original donnent une image trs diffrente des capacits des acteurs de la menace a crit Stiv Kupchik, chercheur principal en scurit chez Akamai, dans un rapport publi mercredi. Selon les chercheurs en cyberscurit d’Akamai, la capacit la plus avance de NoaBot est la faon dont le botnet installe sa variante du logiciel de minage de cryptomonnaies XMRig.
Gnralement, lorsque des mineurs de cryptomonnaie sont installs, les fonds des portefeuilles sont distribus des personnes spcifies dans les paramtres de configuration fournis dans une ligne de commande mise sur l’appareil infect. Cette approche prsente depuis longtemps un risque pour les acteurs de la menace, car elle permet aux chercheurs de savoir o les portefeuilles sont hbergs et combien d’argent y a t vers. Mais au lieu de fournir les paramtres de configuration par l’intermdiaire d’une ligne de commande, le botnet les stocke sous forme chiffre ou obscurcie et ne les dchiffre qu’une fois que XMRig est charg en mmoire.
Noabot remplace la variable interne qui devrait normalement contenir les paramtres de configuration de la ligne de commande et passe le contrle au code source de XMRig. Cela permet aux acteurs de la menace d’assurer leur confidentialit. D’autres diffrences inhabituelles existent :
- NoaBot est compil l’aide de la bibliothque de code connue sous le nom de UClibc, alors que le Mirai standard utilise la bibliothque GCC. La bibliothque alternative semble modifier la faon dont les protections antivirus dtectent NoaBot. Les logiciels antivirus ne classent pas Noabot comme un membre de la famille Mirai, mais dans la catgorie des scanners SSH ou des chevaux de Troie gnriques ;
- NoaBot est compil de manire statique et dpourvu de tout symbole. Il est donc beaucoup plus difficile de procder une rtro-ingnierie du logiciel malveillant ;
- les chanes de caractres, c’est–dire les mots lisibles par l’homme inclus dans le code, sont obscurcies au lieu d’tre sauvegardes en clair. Cette modification complique encore la tche des ingnieurs spcialiss en rtro-ingnierie qui doivent, par exemple, extraire des dtails du binaire ou utiliser IDA et d’autres outils de dsassemblage ;
- le binaire de NoaBot s’excute partir d’un dossier gnr de manire alatoire dans le rpertoire /lib, une conception qui rend encore plus difficile la recherche d’infections par NoaBot sur les appareils ;
- le dictionnaire standard de Mirai, qui stocke la liste des mots de passe couramment utiliss, a t remplac par un nouveau dictionnaire si volumineux qu’il n’est pas pratique pour Akamai de tous les tester. La variante remplace galement le scanner Telnet par un scanner SSH personnalis ;
- l’ajout d’une srie de capacits post-effraction, notamment l’installation d’une nouvelle cl SSH autorise que l’attaquant utilisera comme porte drobe pour tlcharger et excuter des binaires supplmentaires ou se propager de nouveaux dispositifs.
Selon le rapport, les 849 adresses IP sources distinctes sont rparties de manire relativement uniforme travers le monde. Cette uniformit serait courante pour les vers, qui permettent chaque nouvelle victime d’tre galement un nouvel attaquant. Il y a un autre point qui reste toutefois incompris : l’existence d’un point chaud d’adresses IP source situes en Chine, qui gnre environ 10 % des attaques. Akamai ne sait pas non plus combien d’autres IP hbergeant ses dispositifs ciblant le pot de miel peuvent exister. L’entreprise ignore galement si certains de ces dispositifs sont en fait grs par les attaquants pour tenter d’ensemencer leur botnet.
Akamai a publi une vaste bibliothque d’indicateurs que les utilisateurs peuvent utiliser pour vrifier les signes de NoaBot sur leurs dispositifs. Elle comprend une instance prconfigure de l’application Infection Monkey d’Akamai pour tester les rseaux la recherche de signes de compromission. Il y a galement un fichier CSV qui stocke tous les indicateurs de compromission et les rgles YARA pour dtecter les infections par XMRig. Il est difficile de savoir pour l’instant si NoaBot reste un botnet de moins de 1 000 htes infects ou si le pot de miel d’Akamai n’a vu qu’une petite partie des dispositifs affects.
Source : Akamai
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous du botnet NoaBot et de ses caractristiques ?
Voir aussi