Avast aurait détecté Torii, le Botnet IoT le plus sophistiqué jamais repéré, mais la raison de son existence reste un mystère.
Les botnets IoT hérissent les poils des spécialistes de la sécurité et effraient les entreprises. Mirai, le plus célèbre d'entre eux avait semé la pagaille chez DYN, puis par “ruissellement” chez airbnb, Twitter, Paypal, etc. Selon Avast, l'effrayant Botnet IoT aurait trouvé son maître. Nommé Torii ( le portail sacré qui sépare l'enceinte sacrée de l'environnement profane), ce dernier est considéré comme “le botnet IoT le plus sophistiqué jamais vu” par les chercheurs de l'éditeur de logiciels de cybersécurité.
Un botnet IoT repéré par chance
D'abord découvert par le spécialiste répondant au nom de VessOnSecurity sur Twitter, le botnet IoT Torii a très rapidement attiré l'attention des chercheurs d'Avast. Il faut dire que le leurre de VessOnSecurity a subi une attaque particulièrement sophistiquée, selon son propriétaire. Selon lui, l'auteur de ce botnet n'est pas “un simple modder de Mirai”.
My honeypot just caught something substantially new. Spreads via Telnet but not your run-of-the-mill Mirai variant or Monero miner…
First stage is just a few commands that download a rather sophisticated shell script, disguised as a CSS file. (URL is still live.) pic.twitter.com/r5L0I8PC0h
— Vess (@VessOnSecurity) 19 septembre 2018
L'enquête approfondie des chercheurs d'Avast a mis au jour le travail d'un hacker talentueux dont le niveau de compréhension du fonctionnement d'un botnet IoT dépasse largement la moyenne. Il ne s'agit pas d'une variante de Mirai ou de Qbot dont les codes ont été rendus publics. Torii n'est pas seulement sophistiqué. Il est né de la combinaison de plusieurs techniques avancées, toujours selon Avast.
Torii, un malware particulièrement sophistiqué…
Torii comporte un ensemble assez riche de fonctionnalités pour exfiltrer des informations sensibles, il dispose d'une architecture modulaire capable de récupérer et d'exécuter des commandes et des programmes et par-dessus le tout il utilise plusieurs couches de communication chiffrées, peut-on lire dans le rapport.
Ce niveau de sophistication lui aurait permis de rester sous le radar des spécialistes du domaine. Selon les informations de Zdnet, il serait en fonction depuis 2017. Il serait capable de s'en prendre à multitude de systèmes reposant sur des architectures comme MIPS, ARM, X64, X86, SuperH, ou encore PowerPC.
Torii a été repéré après une attaque Telnet en provenance de nœuds partis de Tor. Le botnet IoT est capable d'utiliser les faiblesses des produits IoT pour compromettre leur système, puis d'exécuter des scripts conçus pour détecter le type d'architecture d'un objet connecté afin de lui injecter un malware approprié.
pour télécharger les virus, le cyberattaquant exploite autant le HTTP que le FTP. Il y a également injecté une bonne gestion de la persistance des données des exécutables. A cet effet, il utiliserait six méthodes en même temps pour le maintenir dans le système même après un reboot.
C'est alors que la deuxième phase du botnet s'exécute. Il est alors en possibilité de se connecter au serveur de commande et de contrôle, puis d'exfiltrer les données de chiffrer les communications et d'utiliser des techniques d'anti debug.
…Mais pour l'instant sans danger
Malgré ce niveau de sophistication, Torii n'est pas encore considéré comme dangereux. Ce dernier qui utilise la technique d'attaque Command an Control se connecte sur un port spécifique TCP 443. Or, le botnet IoT n'exploite pas le protocole TLS. C'en est presque “décevant” pour les chercheurs d'Avast.
Bien qu'en circulation depuis un an, Torii n'a pas encore servi à propager d'attaques DDoS ou de cryptojacking. Les raisons de l'existence d'un tel malware restent pour l'instant un mystère. Repéré par de plus en plus de plateforme de détection de logiciels malveillants, le botnet IoT “serait une plateforme modulaire qui pourrait être utilisée lors de futures attaques”, selon Avast.Il est pourtant resté très discret jusqu'alors.
- Partager l'article :