En à peine 24 heures, un cyber attaquant a réussi à concevoir un botnet constitué de plus de 18 000 routeurs Huawei. Le dénommé Anarchy a exploité une faille bien connue des experts.
Après l'affaire Mirai, beaucoup d'experts en cybersécurité se sont penchés sur la manière de constituer un botnet, un réseau d'objets connectés ou d'équipements informatiques. Le but est évidemment de débusquer les botnets avant qu'ils ne servent à provoquer des DDOS massifs.
Des routeurs nourrissent un nouveau botnet
Cette fois-ci, les chercheurs en cybersécurité de Newsky Security, puis Qihoo 360 Netlab, Greynoise et Rapid7 ont découvert l'oeuvre d'un cyber attaquant. Le 18 juillet 2018, ils se sont d'abord rendu compte d'une augmentation conséquente des scans des routeurs Huawei.
En poursuivant leur recherche, ils ont découvert qu'un hacker malveillant a ciblé la vulnérabilité des routeurs Huawei HG532, une vulnérabilité portant le nom barbare de CVE-2017-17215. Cette faille critique peut être exploitée par le biais du port 37215 selon NetScan de Netlab. Résultat, pas moins de 18000 routeurs ont été infectés en 24 heures.
Une fois cette faille ouverte, les cyber attaquants peuvent envoyer des paquets de données malveillants, exécuter du code à distance, lancer des attaques à distance et ainsi faire grandir la taille du botnet en corrompant les produits et les objets connectés aux routeurs.
Une faille bien connue des cyber attaquants
En dévoilant le résultat de leurs recherches, les chercheurs en cybersécurité ont provoqué la réaction de l'auteur de cette attaque. Ankit Anubhav, chercheur pour Newsky Security a discuté avec un certain Anarchy qui a avoué être responsable de la création de ce botnet sans révéler les raisons de ses actes. Selon Anubhav, Anarchy porte un autre pseudonyme : Wicked. Ce dernier serait responsable de la création de variantes du botnet Miraï.
Lors de sa discussion avec le chercheur, Anarchy a avoué avoir exploité cette faille qui avait été dévoilée publiquement en janvier dernier. Celle-ci a servi pour former les botnets Brickerbot et Satori. Ce dernier était en activité en novembre 2017 et avait été repéré la première fois en août 2016. Selon les chercheurs, les amateurs du Dark Web connaissent depuis au moins deux ans la faille du routeur Huawei HG532.
Malheureusement, ce n'est pas le seul équipementier visé par les cyber attaquants. Anarchy a affirmé auprès d'Ankit Anubhav qu'il prévoyait d'exploiter la vulnérabilité CVE-2014-8361. Cette fois-ci, elle concerne des routeurs Realtek et est activable par le port 52869. Le concept du botnet n'a pas fini de faire parler de lui.
- Partager l'article :