Reaper, général d’un botnet IoT de 2 millions d’objets zombies

Dans la mouvance de Mirai, des chercheurs en sécurité ont découvert un malware nommé Reaper. Il a déjà réussi enrôlé plus de 2 millions d’objets connectés.

On croyait que l’affaire des botnets IoT était un peu retombé après l’épisode Mirai. Mais le monde des objets connectés est une poudrière pour la cybersécurité et il n’est pas étonnant de voir des résurgences de Mirai pointer le bout de leur nez.

C’est le cas du malware Reaper déniché par les chercheurs de la société chinoise Qihoo 360 et confirmé par Check Point. Il reprend l’architecture de son auguste prédécesseur, Mirai, mais son modus operandi diffère. Ainsi, il n’utilise pas de scanner des ports Telnet comme pour Mirai, mais il s’appuie sur les vulnérabilités connues des objets connectés pour les enrôler et les contrôler via son serveur C&C.

Reaper utilise plusieurs packages de failles liées à des caméras de surveillance et des enregistreurs : D-Link 1, D-Link 2, Netgear 1, Netgear 2, Linksys, GoAhead, JAWS, Vacron, et  AVTECH. Check Point a constaté que le botnet recrutait aussi sur les routeurs MicroTik et TP-Link, les solutions NAS de Synology et les serveurs Linux.

Plus de 2 millions de soldats prêts à bombarder le web

Au total, le botnet Reaper aurait recruté plus de 2 millions d’objets connectés. Néanmoins, les spécialistes n’ont pas encore constaté d’activité spécifique à ce type de botnet, des attaques DDoS massives. Pour les experts chinois, le botnet est encore en phase de croissance et d’embrigadement pour ensuite passer à une phase offensive. Même constat chez Check Point en avertissant les acteurs du Web, des réseaux, à se préparer à des attaques DDoS massives. On se rappelle qu’il y a 1 an, Mirai avait fait tomber Dyn, le fournisseur de DNS, au point de faire trembler tout l’écosystème du Web.

Les experts conseillent donc de vérifier l’ensemble des objets connectés potentiellement vulnérables aux différentes failles citées précédemment. Au mieux, il est recommandé de les patcher ou au pire s’ils sont infectés de les débrancher.

Photo credit: exacq via Visualhunt /  CC BY-NC

Auteur : Jacques Cheminat

Journaliste pendant 15 ans sur les thématiques, télécoms, réseaux, datacenter, stockage, sécurité, virtualisation, etc..., j'ai choisi d'ouvrir ce blog pour écrire sur tous les sujets IT, les tendances et mes humeurs.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s