Une nouvelle vague d’attaques par déni de service distribué (DDoS) a été observée à l’échelle mondiale, orchestrée par des variantes du célèbre botnet Mirai. Deux campagnes distinctes ciblent des vulnérabilités dans divers dispositifs de l’Internet des objets (IoT) dans le but de compromettre ces appareils et de propager des logiciels malveillants.
Les campagnes DDoS et leurs cibles
Des recherches menées par Qualys révèlent qu’une opération en cours, nommée « Murdoc_Botnet », a débuté en juillet et comprend plus de 1 300 adresses IP actives. Cette campagne cible principalement des caméras Avtech et des routeurs Huawei HG532. Les chercheurs ont découvert plus de 100 ensembles distincts de serveurs associés au botnet Murdoc, chacun étant chargé de déchiffrer ses activités et d’établir une communication avec l’une des adresses IP compromises impliquées dans cette campagne.
Parallèlement, un autre botnet, combinant des variantes de Mirai et de Bashlite, exploite les failles de sécurité et les identifiants faibles dans les dispositifs IoT pour mener des attaques DDoS à travers le monde. Les chercheurs de Trend Micro ont indiqué que le logiciel malveillant pénètre les dispositifs en exploitant des vulnérabilités d’exécution de code à distance ou des mots de passe faibles, puis exécute un script de téléchargement sur l’hôte infecté.
Exploitation des failles spécifiques par le botnet Murdoc
Le botnet Murdoc utilise des exploits existants tels que CVE-2024-7029 et CVE-2017-17215 pour télécharger des charges utiles de niveau supérieur. Le premier est une faille dans les caméras Avtech permettant d’injecter des commandes sur le réseau et de les exécuter sans authentification, tandis que le second est une vulnérabilité d’exécution de code à distance trouvée dans les routeurs Huawei.
La majorité des adresses IP associées à la campagne Murdoc se trouvent en Malaisie, suivies par la Thaïlande, le Mexique et l’Indonésie. Les chercheurs de Qualys ont également découvert plus de 500 échantillons contenant des fichiers ELF et des fichiers de scripts shell associés à ce botnet.
Une campagne DDoS expansive touche les États-Unis
Les analystes de Trend Micro ont d’abord détecté des attaques DDoS de grande envergure contre des organisations japonaises, notamment des grandes entreprises et des banques. Cependant, cette activité a rapidement été étendue à une campagne mondiale plus vaste, touchant particulièrement les États-Unis, suivis par des pays comme Bahreïn, la Pologne et l’Espagne.
Les dispositifs principalement ciblés par ces attaques sont des routeurs sans fil et des caméras IP de marques reconnues, y compris les routeurs TP-Link et Zyxel, ainsi que les caméras Hikvision. Les cyberattaquants exploitent principalement les failles des dispositifs, combinées à des mots de passe faibles pour accéder aux systèmes.
Comment se défendre contre les cyberattaques DDoS
Avec la prolifération de variantes de Mirai générant de nouveaux botnets pour des attaques DDoS étendues, il est crucial que les organisations puissent identifier et protéger leurs réseaux contre les afflux de trafic indésirables. Les chercheurs de Qualys recommandent de surveiller régulièrement les processus suspects, les événements et le trafic réseau générés par l’exécution de binaires ou de scripts non fiables.
En ce qui concerne les attaques DDoS, Trend Micro propose différentes mesures d’atténuation selon le type d’attaque observée. Pour les attaques qui inondent le réseau de paquets, il est conseillé d’utiliser un pare-feu pour bloquer des adresses IP spécifiques, de collaborer avec des fournisseurs de service de communication pour filtrer le trafic DDoS et de renforcer le matériel des routeurs.
Une image révélatrice des menaces DDoS
