Hajime, Brickerbot : pas des malwares, mais des boucliers contre les botnets IoT Mirai ?

privacy-shield-transfret-donnees-CNNum

Vues d’abord comme des menaces, de nouveaux malwares pour les objets connectés visent en réalité plutôt à enrayer les attaques contre l’IoT. Avec des méthodes parfois très discutables.

Un faisceau convergent d’informations indique que des hackers blancs (white hats) semblent décidés à protéger les objets connectés de Mirai, le malware qui permet d’enrôler des dispositifs IoT mal sécurisés dans des botnets permettant de lancer des attaques DDoS géantes, comme celle qui a fait tomber le prestataire DNS Dyn en octobre dernier. L’infection par Mirai exploite la faiblesse des protections d’un grand nombre d’objets connectés, dont les concepteurs se sont peu souciés de sécurité (à tout le moins). Un ver baptisé Hajime, découvert pour la première fois en octobre dernier et étudié par Symantec, utilise les mêmes lacunes, mais cette fois afin, semble-t-il, de protéger les objets.

Une fois implanté sur les terminaux ciblés, via les ports Telnet ouverts ou l’exploitation de mots de passe par défaut, Hajime bloque l’accès à un certain nombre de ports (23, 7547, 5555 et 5358) afin de barrer la route à Mirai. Un message du développeur de Hajime est là pour tranquilliser (ou tenter de tranquilliser) les personnes infectées : « Je suis seulement un hacker blanc tentant de sécuriser quelques systèmes », écrit-il. Symantec, qui explique que ce logiciel se répand rapidement (l’éditeur parlant au minimum de dizaines de milliers d’objets infectés), reste prudent quant aux intentions du développeur de cette souche, notant la nature modulaire de Hajime qui lui permettrait de transformer très vite le réseau d’appareils apparemment protégés en un gigantesque botnet.

Hajime contrôlé via un réseau P2P

Une perspective inquiétante d’autant que Hajime se montre très discret, prenant plusieurs mesures pour masquer ses traces. Et se diffusant via une méthode inédite pour un malware IoT. « Contrairement à Mirai, qui utilise des adresses codées en dur pour communiquer avec son serveur de commande et de contrôle (C&C), Hajime est bâti sur un réseau pair-à-pair. Il n’existe pas une adresse unique de serveur C&C, au lieu de cela l’instance de contrôle pousse des modules de commandes sur le réseau et ce message se propage de proche en proche à tous les pairs au fil du temps », écrit Waylon Grange, un chercheur de Symantec. Un design de réseau beaucoup plus résistant que celui de Mirai.

Plus étonnant encore, BrickerBot, un malware pour objets connectés qui réécrit l’espace de stockage flash des périphériques avec des données aléatoires (les rendant inopérants, sauf à réinstaller le firmware), aurait lui aussi été développé pour lutter contre les menaces de type Mirai. Selon BleepingComputer, l’auteur de BrickerBot, connu sous le pseudo de janit0r, souhaitait en réalité affaiblir les botnets Mirai (rappelons que le code source de ce malware a été placé en Open Source faisant exploser sa vitesse de propagation). D’après nos confrères, qui ont pu s’entretenir avec l’auteur de BrickerBot, janit0r avait pour objectif de retirer du marché « des périphériques IoT au design dangereux ».

2 millions d’objets touchés par BrickerBot

« Avec BrickerBot, il existe un espoir passager que de tels objets dangereux puissent devenir le problème des vendeurs et fabricants plutôt que notre problème », ajoute janit0r. Selon lui, ce sont aujourd’hui deux millions d’objets qui ont été visités par son malware. « Je n’avais aucune idée (et je n’en ai toujours pas) de combien le puits de l’insécurité de l’IoT serait profond, explique le hacker chez nos confrères. Je suis certain que le pire est encore à venir. » Le concepteur de BrickerBot présente sa création comme une « action non conventionnelle » qui peut aider les gouvernements et l’industrie en général à gagner une année pour faire face au désastre annoncé qui découlera du manque de sécurisation des objets connectés.

Il n’en reste pas moins que le mode d’action de BrickerBot, qui transforme un objet intelligent en un tas d’électronique sans utilité, se range dans la même catégorie que les troyens bancaires et les ransomwares. Janit0r sait d’ailleurs qu’il est recherché par les autorités et prend de multiples précautions, indique BleepingComputer.

En 2015 déjà, un chevalier blanc de la cybersécurité avait développé une souche, Wifatch, contrôlée via un réseau pair-à-pair. Après avoir pensé que ce malware était destiné à créer des botnets IoT afin de lancer des attaques par déni de service, Symantec était parvenu à la conclusion que l’auteur de Wifatch voulait en réalité protéger les objets connectés des tentatives de piratage.

A lire aussi :

A louer : un botnet Mirai de 400 000 objets pour lancer des DDoS

DDoS : la menace de moins en moins fantôme

Sécurité et IoT : pourquoi le pire est encore à venir

Photo : JD Hancock via VisualHunt / CC BY